Amerikaanse Treasury sancties Noord-Koreaanse door de staat gesponsorde kwaadwillende cybergroepen

Vandaag de dag, de US Department of the TreasuryHet Office of Foreign Assets Control (OFAC) kondigde sancties aan tegen drie door de staat gesponsorde kwaadwillende cybergroepen die verantwoordelijk zijn voor Noord Koreakwaadwillende cyberactiviteit op kritieke infrastructuur. De acties van vandaag identificeren Noord-Koreaanse hackgroepen die algemeen bekend staan ​​binnen de wereldwijde privé-industrie op het gebied van cyberbeveiliging als 'Lazarus Group', 'Bluenoroff' en 'Andariel' als agentschappen, instrumenten of gecontroleerde entiteiten van de regering van Noord-Korea op grond van Executive Order (EO ) 13722, op basis van hun relatie met het Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff en Andariel worden gecontroleerd door de door de VS en de Verenigde Naties (VN) aangewezen RGB, het belangrijkste inlichtingenbureau van Noord-Korea.

"Treasury onderneemt actie tegen Noord-Koreaanse hackgroepen die cyberaanvallen hebben gepleegd om illegale wapen- en raketprogramma's te ondersteunen", zegt Sigal Mandelker, staatssecretaris voor terrorisme en financiële inlichtingen. "We zullen de bestaande sancties van de VS en de VN tegen Noord-Korea blijven handhaven en met de internationale gemeenschap samenwerken om de cyberbeveiliging van financiële netwerken te verbeteren."

Schadelijke cyberactiviteit door Lazarus Group, Bluenoroff en Andariel

Lazarus Group richt zich op instellingen zoals de overheid, het leger, financiële bedrijven, productiebedrijven, uitgeverijen, media, entertainment en internationale scheepvaartmaatschappijen, evenals kritieke infrastructuur, met behulp van tactieken zoals cyberspionage, gegevensdiefstal, geldovervallen en destructieve malwareactiviteiten. Deze kwaadwillende cybergroep werd al in 2007 opgericht door de Noord-Koreaanse regering en is ondergeschikt aan het 110th Research Center, 3rd Bureau of the RGB. Het 3e Bureau staat ook bekend als het 3e Technisch Surveillance Bureau en is verantwoordelijk voor de cyberoperaties in Noord-Korea. Naast de rol van de RGB als de belangrijkste entiteit die verantwoordelijk is voor de kwaadaardige cyberactiviteiten van Noord-Korea, is de RGB ook de belangrijkste Noord-Koreaanse inlichtingendienst en is hij betrokken bij de handel in Noord-Koreaanse wapens. De RGB is op 2 januari 2015 door OFAC aangewezen op grond van EO 13687 omdat het een gecontroleerde entiteit is van de regering van Noord-Korea. De RGB werd ook vermeld in de bijlage bij EO 13551 op 30 augustus 2010. De VN hebben ook de RGB aangewezen op 2 maart 2016.

Lazarus Group was betrokken bij de vernietigende WannaCry 2.0-ransomwareaanval die de Verenigde Staten, Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk in december 2017 publiekelijk toeschrijven aan Noord-Korea. Denemarken en Japan gaven ondersteunende verklaringen af ​​en verschillende Amerikaanse bedrijven namen onafhankelijke maatregelen om de de Noord-Koreaanse cyberactiviteit. WannaCry trof minstens 150 landen over de hele wereld en sloot ongeveer driehonderdduizend computers af. Een van de publiekelijk geïdentificeerde slachtoffers was de National Health Service (NHS) van het Verenigd Koninkrijk (VK). Ongeveer een derde van de Britse secundaire zorgziekenhuizen - ziekenhuizen die intensive care-afdelingen en andere nooddiensten leveren - en acht procent van de algemene medische praktijken in het VK werden verlamd door de ransomwareaanval, wat leidde tot de annulering van meer dan 19,000 afspraken en uiteindelijk kosten de NHS meer dan $ 112 miljoen, waarmee het de grootste bekende ransomware-uitbraak in de geschiedenis is. Lazarus Group was ook direct verantwoordelijk voor de bekende cyberaanvallen van Sony Pictures Entertainment (SPE) in 2014.

Ook vandaag zijn twee subgroepen van de Lazarus Group aangewezen, waarvan de eerste door veel particuliere beveiligingsbedrijven Bluenoroff wordt genoemd. Bluenoroff werd gevormd door de Noord-Koreaanse regering om illegaal inkomsten te genereren als reactie op toegenomen wereldwijde sancties. Bluenoroff voert kwaadwillende cyberactiviteiten uit in de vorm van cyberovervallen op buitenlandse financiële instellingen namens het Noord-Koreaanse regime om gedeeltelijk inkomsten te genereren voor zijn groeiende kernwapens en ballistische raketprogramma's. Cybersecurity-bedrijven merkten deze groep al in 2014, toen de cyberinspanningen van Noord-Korea zich begonnen te concentreren op financieel gewin naast het verkrijgen van militaire informatie, het destabiliseren van netwerken of het intimideren van tegenstanders. Volgens berichten uit de industrie en de pers had Bluenoroff in 2018 geprobeerd meer dan $ 1.1 miljard dollar te stelen van financiële instellingen en had het volgens persberichten met succes dergelijke operaties uitgevoerd tegen banken in Bangladesh, India, Mexico, Pakistan, de Filippijnen, Zuid-Korea. , Taiwan, Turkije, Chili en Vietnam.

Volgens cyberbeveiligingsbedrijven voerde Bluenoroff, doorgaans via phishing en backdoor-inbraken, succesvolle operaties uit tegen meer dan 16 organisaties in 11 landen, waaronder het SWIFT-berichtensysteem, financiële instellingen en cryptocurrency-uitwisselingen. In een van Bluenoroffs meest beruchte cyberactiviteiten werkte de hackgroep samen met de Lazarus Group om ongeveer $ 80 miljoen dollar te stelen van de rekening van de Central Bank of Bangladesh in New York Federal Reserve. Door gebruik te maken van malware die vergelijkbaar is met die van de SPE-cyberaanval, hebben Bluenoroff en Lazarus Group meer dan 36 grote verzoeken om geldoverboekingen gedaan met behulp van gestolen SWIFT-inloggegevens in een poging om in totaal $ 851 miljoen te stelen voordat een typografische fout het personeel waarschuwde om te voorkomen dat het extra geld gestolen worden.

De tweede subgroep van de Lazarus Group die vandaag is aangewezen, is Andariel. Het richt zich op het uitvoeren van kwaadwillende cyberoperaties op buitenlandse bedrijven, overheidsinstanties, financiële diensteninfrastructuur, particuliere bedrijven en bedrijven, evenals de defensie-industrie. Cybersecurity-bedrijven merkten Andariel voor het eerst op rond 2015 en meldden dat Andariel consequent cybercriminaliteit uitvoert om inkomsten te genereren en zich richt op de regering en infrastructuur van Zuid-Korea om informatie te verzamelen en wanorde te creëren.

In het bijzonder werd Andariel geobserveerd door cyberveiligheidsbedrijven die probeerden bankkaartinformatie te stelen door geldautomaten te hacken om geld op te nemen of klantinformatie te stelen om later op de zwarte markt te verkopen. Andariel is ook verantwoordelijk voor het ontwikkelen en creëren van unieke malware om online poker- en goksites te hacken om geld te stelen.
Volgens berichten uit de industrie en de pers blijft Andariel, afgezien van zijn criminele inspanningen, kwaadwillende cyberactiviteiten uitvoeren tegen het regeringspersoneel van Zuid-Korea en het Zuid-Koreaanse leger in een poging om inlichtingen te verzamelen. Een geval dat in september 2016 werd opgemerkt, was een cyberinbraak in de personal computer van de toenmalige Zuid-Koreaanse minister van Defensie en het intranet van het ministerie van Defensie om inlichtingen over militaire operaties te verkrijgen.

Naast kwaadaardige cyberactiviteiten op conventionele financiële instellingen, buitenlandse regeringen, grote bedrijven en infrastructuur, richten de cyberactiviteiten van Noord-Korea zich ook op Virtual Asset Providers en cryptocurrency-uitwisselingen om mogelijk te helpen bij het verdoezelen van inkomstenstromen en cyberdiefstallen die mogelijk ook Noord-Korea financieren. WMD- en ballistische raketprogramma's. Volgens berichten uit de industrie en de pers hebben deze drie door de staat gesponsorde hackersgroepen waarschijnlijk alleen al ongeveer $ 571 miljoen aan cryptocurrency gestolen van vijf beurzen in Azië tussen januari 2017 en september 2018.

Inspanningen van de Amerikaanse regering om Noord-Koreaanse cyberdreigingen te bestrijden

Afzonderlijk hebben de Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security en het US Cyber ​​Command (USCYBERCOM) de afgelopen maanden samengewerkt om malwarestalen bekend te maken aan de particuliere cyberbeveiligingsindustrie, waarvan verschillende later werden toegeschreven aan Noord-Koreaanse cyberactoren. , als onderdeel van een voortdurende inspanning om het Amerikaanse financiële systeem en andere kritieke infrastructuur te beschermen en om de grootste impact te hebben op het verbeteren van de wereldwijde veiligheid. Dit, samen met de huidige OFAC-actie, is een voorbeeld van een overheidsbrede benadering van de verdediging van en bescherming tegen een toenemende Noord-Koreaanse cyberdreiging en is nog een stap in de aanhoudende engagementvisie van USCYBERCOM.

Als resultaat van de actie van vandaag, alle eigendommen en belangen in eigendommen van deze entiteiten, en van entiteiten die direct of indirect eigendom zijn van 50 procent of meer van de aangewezen entiteiten, die zich in de Verenigde Staten bevinden of in het bezit of onder controle zijn van Amerikaanse personen is geblokkeerd en moet worden gemeld aan OFAC. OFAC's regelgeving verbiedt in het algemeen alle transacties door Amerikaanse personen of binnen (of doorreis) in de Verenigde Staten waarbij eigendommen of belangen in eigendommen van geblokkeerde of aangewezen personen betrokken zijn.

Bovendien kunnen personen die bepaalde transacties aangaan met de vandaag aangewezen entiteiten, zelf aan de aanwijzing worden blootgesteld. Bovendien zou elke buitenlandse financiële instelling die willens en wetens een belangrijke transactie faciliteert of aanzienlijke financiële diensten verleent aan een van de vandaag aangewezen entiteiten, onderworpen kunnen worden aan een Amerikaanse correspondentrekening of via sancties kunnen worden betaald.