美國財政部製裁朝鮮政府資助的惡意網絡集團

美國財政部製裁朝鮮政府資助的惡意網絡集團
首席作業編輯頭像
Written by 首席作業編輯

今天, 美國財政部的外國資產控制辦公室(OFAC)宣布了針對三個由朝鮮政府資助的惡意網絡組織的製裁措施,這些組織負責 北朝鮮在關鍵基礎架構上的惡意網絡活動。 根據今天的行動,在全球網絡安全私營行業中通常被稱為“拉撒路集團”,“ Bluenoroff”和“ Andariel”的朝鮮黑客團體是根據行政命令(EO)的朝鮮政府機構,工具或受控實體)13722,基於他們與偵察總局(RGB)的關係。 Lazarus Group,Bluenoroff和Andariel由美國和聯合國指定的RGB(北朝鮮的主要情報局)控制。

“財政部正在對一直在進行網絡攻擊以支持非法武器和導彈計劃的朝鮮黑客組織採取​​行動,”財政部負責恐怖主義和金融情報的副部長曼德拉克說。 “我們將繼續執行美國和聯合國對朝鮮的現有製裁,並與國際社會合作,以改善金融網絡的網絡安全。”

Lazarus Group,Bluenoroff和Andariel的惡意網絡活動

Lazarus Group使用網絡間諜活動,數據盜竊,金錢搶劫和破壞性惡意軟件操作等策略,針對政府,軍事,金融,製造,出版,媒體,娛樂和國際航運公司等機構以及關鍵基礎設施。 這個惡意的網絡組織早在2007年就由朝鮮政府創立,隸屬於RGB第三局第110研究中心。 第三局也稱為第三技術監視局,負責朝鮮的網絡運營。 RGB不僅是負責朝鮮惡意網絡活動的主要實體,而且還是北朝鮮情報機構的主要機構,並參與朝鮮武器貿易。 RGB由OFAC根據EO 3於3年3月2日指定為朝鮮政府的控制實體。 RGB也在2015年13687月13551日的EO 30附件中列出。聯合國還在2010年2月2016日指定了RGB。

Lazarus Group參與了破壞性的WannaCry 2.0勒索軟件攻擊,美國,澳大利亞,加拿大,新西蘭和英國於2017年150月公開將其歸咎於朝鮮。丹麥和日本發表了支持性聲明,幾家美國公司採取了獨立行動來破壞朝鮮的網絡活動。 WannaCry影響了全球至少19,000個國家,並關閉了大約112萬台計算機。 在公開確定的受害者中,有英國國家衛生服務局(NHS)。 英國約有三分之一的二級保健醫院(提供重症監護病房和其他急診服務的醫院)和英國一般醫療實踐的2014%受勒索軟件攻擊的破壞,導致取消了XNUMX多個約會,最終導致成本上升NHS的收入超過XNUMX億美元,使其成為歷史上最大的已知勒索軟件爆發。 Lazarus Group還直接負責XNUMX年著名的Sony Pictures Entertainment(SPE)網絡攻擊。

今天還指定了拉撒路集團的兩個小組,其中第一個小組被許多私人保安公司稱為Bluenoroff。 Bluenoroff由朝鮮政府組建,目的是在全球製裁增加的情況下非法賺取收入。 Bluenoroff代表北朝鮮政權,以網絡搶劫的形式進行了惡意的網絡活動,搶劫外國金融機構,以賺取收益,部分原因是其不斷增長的核武器和彈道導彈計劃。 網絡安全公司最早在2014年就注意到了該組織,當時朝鮮的網絡工作開始著眼於獲取軍事信息,破壞網絡穩定或恐嚇對手的經濟收益。 根據行業和新聞報導,到2018年,Bluenoroff曾試圖從金融機構竊取超過1.1億美元,並且根據新聞報導,成功對孟加拉國,印度,墨西哥,巴基斯坦,菲律賓,韓國的銀行進行了此類操作,台灣,土耳其,智利和越南。

據網絡安全公司稱,Bluenoroff通常通過網絡釣魚和後門入侵進行了成功的運營,目標是針對16個國家/地區的11個以上組織,其中包括SWIFT消息傳遞系統,金融機構和加密貨幣交易所。 在Bluenoroff最臭名昭著的網絡活動之一中,黑客組織與Lazarus Group共同從孟加拉國中央銀行的紐約聯邦儲備銀行帳戶中竊取了大約80萬美元。 通過利用類似於SPE網絡攻擊中看到的惡意軟件,Bluenoroff和Lazarus Group使用被盜的SWIFT憑證提出了36筆以上的大型資金轉賬請求,以試圖竊取總計851億美元,然後再出現印刷錯誤,以提醒工作人員防止額外資金來自被偷。

今天指定的第二個拉撒路集團子小組是Andariel。 它著重於對外國企業,政府機構,金融服務基礎設施,私人公司,企業以及國防工業進行惡意網絡操作。 網絡安全公司最早在2015年左右注意到Andariel,並報告說,Andariel不斷執行網絡犯罪以產生收入,並瞄準韓國政府和基礎設施,以收集信息並製造混亂。

具體來說,網絡安全公司觀察到Andariel的行為,他們試圖通過侵入ATM機提取現金或竊取客戶信息以隨後在黑市上出售來竊取銀行卡信息。 Andariel還負責開發和創建獨特的惡意軟件,以侵入在線撲克和賭博網站以竊取現金。
根據行業和媒體的報導,除了犯罪行為,Andariel繼續對韓國政府人員和韓國軍方進行惡意網絡活動,以收集情報。 2016年XNUMX月發現的一個案件是當時韓國國防部長在職計算機和國防部內部網的網絡入侵,目的是提取軍事行動情報。

除了傳統金融機構,外國政府,主要公司和基礎設施上的惡意網絡活動外,朝鮮的網絡運營還針對虛擬資產提供商和加密貨幣交易所,以可能有助於混淆收入流和網絡盜竊,這也可能為朝鮮的金融活動提供資金大規模殺傷性武器和彈道導彈計劃。 根據行業和新聞報導,571年2017月至2018年XNUMX月期間,這三個國家贊助的黑客組織僅在亞洲的五個交易所中就可能竊取了約XNUMX億美元的加密貨幣。

美國政府努力打擊朝鮮網絡威脅

另外,國土安全部的網絡安全和基礎設施安全局(CISA)和美國網絡司令部(USCYBERCOM)在最近幾個月協同工作,向私有網絡安全行業披露了惡意軟件樣本,其中一些後來歸因於朝鮮網絡參與者,這是保護美國金融系統和其他關鍵基礎設施以及對改善全球安全產生最大影響的持續努力的一部分。 這與今天的OFAC行動一起,是政府範圍內保衛和抵禦日益增加的朝鮮網絡威脅的方法的一個例子,也是USCYBERCOM提出的持久參與願景的又一步。

由於採取了今天的行動,這些實體以及由指定實體直接或間接擁有或擁有或控製或擁有美國50%或以上的任何實體的所有財產和財產權益的美國人員被封鎖,必須向OFAC報告。 OFAC的法規通常禁止由美國人員或在美國境內(或過境)在美國進行的所有涉及被禁或指定人員財產或財產權益的交易。

此外,與今天指定的實體進行某些交易的人員可能自己也有可能被指定。 此外,任何故意為今天指定的實體促進重大交易或提供重要金融服務的外國金融機構都可能受到美國代理帳戶或應付清算制裁的約束。

關於作者

首席作業編輯頭像

首席作業編輯

首席作業編輯是 Oleg Siziakov

分享給...