Ministerstvo financií USA sankcionuje škodlivé kybernetické skupiny sponzorované štátom

Dnes, Ministerstvo financií USAÚrad pre kontrolu zahraničných aktív (OFAC) oznámil sankcie zamerané na tri škodlivé kybernetické skupiny sponzorované Severnou Kóreou. Severná Kóreaškodlivú kybernetickú aktivitu na kritickej infraštruktúre. Dnešné akcie identifikujú severokórejské hackerské skupiny bežne známe v súkromnom sektore globálnej kybernetickej bezpečnosti ako „Lazarus Group“, „Bluenoroff“ a „Andariel“ ako agentúry, nástroje alebo kontrolované subjekty vlády Severnej Kórey podľa výkonného nariadenia (EO ) 13722 na základe ich vzťahu k Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff a Andariel sú kontrolované RGB označenými USA a Organizáciou Spojených národov (OSN), čo je primárny spravodajský úrad Severnej Kórey.

„Ministerstvo financií podniká kroky proti severokórejským hackerským skupinám, ktoré páchajú kybernetické útoky na podporu nezákonných zbraňových a raketových programov,“ povedala Sigal Mandelker, námestníčka ministra financií pre terorizmus a finančné spravodajstvo. "Budeme pokračovať v presadzovaní existujúcich sankcií USA a OSN proti Severnej Kórei a spolupracovať s medzinárodným spoločenstvom na zlepšení kybernetickej bezpečnosti finančných sietí."

Škodlivá kybernetická aktivita od Lazarus Group, Bluenoroff a Andariel

Lazarus Group sa zameriava na inštitúcie ako vládne, vojenské, finančné, výrobné, vydavateľské, mediálne, zábavné a medzinárodné prepravné spoločnosti, ako aj na kritickú infraštruktúru, pričom využíva taktiky, ako je kybernetická špionáž, krádeže údajov, peňažné lúpeže a deštruktívne operácie so škodlivým softvérom. Táto zákerná kybernetická skupina vytvorená severokórejskou vládou už v roku 2007 je podriadená 110. výskumnému centru, 3. úradu RGB. 3. úrad je známy aj ako 3. úrad pre technický dozor a je zodpovedný za kybernetické operácie Severnej Kórey. Okrem úlohy RGB ako hlavného subjektu zodpovedného za škodlivé kybernetické aktivity Severnej Kórey je RGB aj hlavnou severokórejskou spravodajskou agentúrou a podieľa sa na obchodovaní so severokórejskými zbraňami. Organizáciu RGB označil OFAC 2. januára 2015 podľa EO 13687 za kontrolovaný subjekt vlády Severnej Kórey. RGB bolo tiež uvedené v prílohe k EO 13551 dňa 30. augusta 2010. OSN tiež označilo RGB dňa 2. marca 2016.

Lazarus Group bola zapojená do deštruktívneho útoku ransomvéru WannaCry 2.0, ktorý Spojené štáty, Austrália, Kanada, Nový Zéland a Spojené kráľovstvo verejne pripísali Severnej Kórei v decembri 2017. Dánsko a Japonsko vydali podporné vyhlásenia a niekoľko amerických spoločností podniklo nezávislé kroky na narušenie kybernetická aktivita Severnej Kórey. WannaCry zasiahol najmenej 150 krajín sveta a odstavil približne tristotisíc počítačov. Medzi verejne identifikovanými obeťami bola Národná zdravotná služba (NHS) Spojeného kráľovstva. Približne jedna tretina nemocníc sekundárnej starostlivosti v Spojenom kráľovstve – nemocnice, ktoré poskytujú jednotky intenzívnej starostlivosti a iné pohotovostné služby – a osem percent všeobecných lekárskych praktík v Spojenom kráľovstve bola ochromená útokom ransomvéru, čo viedlo k zrušeniu viac ako 19,000 112 stretnutí a v konečnom dôsledku to stálo náklady. NHS viac ako 2014 miliónov dolárov, čo z neho robí najväčšie známe prepuknutie ransomvéru v histórii. Skupina Lazarus bola tiež priamo zodpovedná za známe kybernetické útoky spoločnosti Sony Pictures Entertainment (SPE) z roku XNUMX.

Dnes sú tiež označené dve podskupiny Lazarus Group, z ktorých prvá je mnohými súkromnými bezpečnostnými firmami označovaná ako Bluenoroff. Spoločnosť Bluenoroff bola vytvorená severokórejskou vládou s cieľom nezákonne zarábať príjmy v reakcii na zvýšené globálne sankcie. Bluenoroff vykonáva zákernú kybernetickú aktivitu vo forme kybernetických lúpeží proti zahraničným finančným inštitúciám v mene severokórejského režimu, aby generoval príjmy, čiastočne, pre jeho rastúce programy jadrových zbraní a balistických rakiet. Firmy zaoberajúce sa kybernetickou bezpečnosťou si túto skupinu prvýkrát všimli už v roku 2014, keď sa kybernetické úsilie Severnej Kórey začalo okrem získavania vojenských informácií, destabilizácie sietí či zastrašovania protivníkov zameriavať aj na finančný zisk. Podľa priemyselných a tlačových správ sa do roku 2018 Bluenoroff pokúsil ukradnúť viac ako 1.1 miliardy dolárov z finančných inštitúcií a podľa tlačových správ úspešne vykonal takéto operácie proti bankám v Bangladéši, Indii, Mexiku, Pakistane, na Filipínach a v Južnej Kórei. , Taiwan, Turecko, Čile a Vietnam.

Podľa firiem zaoberajúcich sa kybernetickou bezpečnosťou, zvyčajne prostredníctvom phishingu a prienikov typu backdoor, spoločnosť Bluenoroff vykonala úspešné operácie zamerané na viac ako 16 organizácií v 11 krajinách vrátane systému zasielania správ SWIFT, finančných inštitúcií a búrz kryptomien. V jednej z najznámejších kybernetických aktivít spoločnosti Bluenoroff hackerská skupina spolupracovala so skupinou Lazarus Group na ukradnutí približne 80 miliónov dolárov z účtu centrálnej banky Bangladéša v New York Federal Reserve. Využitím malvéru podobného tomu, ktorý bol zaznamenaný pri kybernetickom útoku SPE, Bluenoroff a Lazarus Group uskutočnili viac ako 36 veľkých žiadostí o prevod finančných prostriedkov pomocou ukradnutých poverení SWIFT v snahe ukradnúť celkovo 851 miliónov USD predtým, ako na typografickú chybu upozornil personál, aby zabránil ďalším finančným prostriedkom. ukradnuté.

Druhá dnešná podskupina Lazarus Group je Andariel. Zameriava sa na vykonávanie škodlivých kybernetických operácií na zahraničných podnikoch, vládnych agentúrach, infraštruktúre finančných služieb, súkromných korporáciách a podnikoch, ako aj na obranný priemysel. Firmy zaoberajúce sa kybernetickou bezpečnosťou si Andariel prvýkrát všimli okolo roku 2015 a oznámili, že Andariel dôsledne vykonáva počítačovú kriminalitu s cieľom generovať príjmy a zameriava sa na juhokórejskú vládu a infraštruktúru s cieľom zhromažďovať informácie a vytvárať neporiadok.

Konkrétne, Andariel bol pozorovaný spoločnosťami zaoberajúcimi sa kybernetickou bezpečnosťou, ako sa pokúšali ukradnúť informácie o bankových kartách nabúraním sa do bankomatov, aby si vybrali hotovosť alebo ukradli informácie o zákazníkoch, aby ich neskôr predali na čiernom trhu. Andariel je tiež zodpovedný za vývoj a vytváranie jedinečného malvéru na preniknutie do online pokerových a hazardných stránok s cieľom ukradnúť hotovosť.
Podľa priemyselných a tlačových správ Andariel nad rámec svojho kriminálneho úsilia pokračuje vo vykonávaní škodlivých kybernetických aktivít proti personálu juhokórejskej vlády a juhokórejskej armáde v snahe získať spravodajské informácie. Jeden prípad zaznamenaný v septembri 2016 bol kybernetický prienik do osobného počítača juhokórejského ministra obrany, ktorý v tom čase úradoval, a do intranetu ministerstva obrany s cieľom získať spravodajské informácie o vojenských operáciách.

Okrem škodlivých kybernetických aktivít na konvenčných finančných inštitúciách, zahraničných vládach, veľkých spoločnostiach a infraštruktúre sa kybernetické operácie Severnej Kórey zameriavajú aj na poskytovateľov virtuálnych aktív a kryptomenové burzy, aby mohli pomôcť pri zahmlievaní príjmových tokov a kybernetických krádežiach, ktoré tiež potenciálne financujú severokórejské Programy ZHN a balistických rakiet. Podľa priemyselných a tlačových správ tieto tri štátom sponzorované hackerské skupiny pravdepodobne ukradli okolo 571 miliónov dolárov len v kryptomenách z piatich búrz v Ázii v období od januára 2017 do septembra 2018.

Úsilie vlády USA v boji proti severokórejským kybernetickým hrozbám

Samostatne Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) ministerstva vnútornej bezpečnosti a kybernetické velenie USA (USCYBERCOM) v posledných mesiacoch spolupracovali na zverejnení vzoriek malvéru súkromnému odvetviu kybernetickej bezpečnosti, z ktorých viaceré boli neskôr pripísané severokórejským kybernetickým aktérom. , ako súčasť pokračujúceho úsilia o ochranu finančného systému USA a ďalšej kritickej infraštruktúry, ako aj o čo najväčší vplyv na zlepšenie globálnej bezpečnosti. Toto, spolu s dnešnou akciou OFAC, je príkladom celovládneho prístupu k obrane a ochrane pred narastajúcou severokórejskou kybernetickou hrozbou a je ďalším krokom vo vízii trvalej angažovanosti, ktorú predložil USCYBERCOM.

Výsledkom dnešnej akcie je, že všetok majetok a podiely na majetku týchto subjektov a akýchkoľvek subjektov, ktoré sú priamo alebo nepriamo vlastnené z 50 percent alebo viac určenými subjektmi, ktoré sú v Spojených štátoch amerických alebo v držbe alebo kontrole osôb z USA sú zablokované a musia byť nahlásené úradu OFAC. Predpisy OFAC vo všeobecnosti zakazujú všetky transakcie osôb z USA alebo v rámci (alebo tranzitu) Spojených štátov, ktoré zahŕňajú akýkoľvek majetok alebo podiely na majetku blokovaných alebo určených osôb.

Okrem toho osoby, ktoré sa zúčastňujú určitých transakcií s dnes určenými subjektmi, môžu byť samotné vystavené označeniu. Okrem toho akákoľvek zahraničná finančná inštitúcia, ktorá vedome uľahčuje významnú transakciu alebo poskytuje významné finančné služby pre ktorýkoľvek z dnes označených subjektov, by mohla podliehať sankciám pre korešpondenčný účet v USA alebo splatné prostredníctvom sankcií.