US Treasury sanktionerar nordkoreanska statssponserade skadliga cybergrupper

Idag US Department of TreasuryOffice of Foreign Assets Control (OFAC) tillkännagav sanktioner riktade mot tre nordkoreanska statssponserade skadliga cybergrupper som ansvarar för Nordkoreaskadlig cyberaktivitet på kritisk infrastruktur. Dagens åtgärder identifierar nordkoreanska hackgrupper som allmänt är kända inom den globala privata cybersäkerhetsindustrin som "Lazarus Group", "Bluenoroff" och "Andariel" som byråer, instrument eller kontrollerade enheter från Nordkoreas regering enligt Executive Order (EO ) 13722, baserat på deras förhållande till Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff och Andariel kontrolleras av USA: s och FN: s (FN) designerade RGB, som är Nordkoreas främsta underrättelsetjänst.

"Treasury vidtar åtgärder mot nordkoreanska hackgrupper som har begått cyberattacker för att stödja olagliga vapen- och missilprogram", säger Sigal Mandelker, finansministeriet för terrorism och finansiell underrättelse. "Vi kommer att fortsätta att genomdriva befintliga USA- och FN-sanktioner mot Nordkorea och samarbeta med det internationella samfundet för att förbättra cybersäkerheten i finansiella nätverk."

Skadlig cyberaktivitet av Lazarus Group, Bluenoroff och Andariel

Lazarus Group riktar sig mot institutioner som regering, militär, ekonomi, tillverkning, publicering, media, underhållning och internationella rederier, samt kritisk infrastruktur, med hjälp av taktik som cyberspionage, datastöld, monetära överraskningar och destruktiv skadlig verksamhet. Skapad av den nordkoreanska regeringen så tidigt som 2007 är denna skadliga cybergrupp underordnad det 110: e forskningscentret, RGB: s tredje byrå. Den tredje byrån är också känd som den tredje tekniska övervakningsbyrån och ansvarar för Nordkoreas cyberverksamhet. Förutom RGB: s roll som huvudansvarig för Nordkoreas skadliga cyberaktiviteter är RGB också den viktigaste nordkoreanska underrättelsetjänsten och är inblandad i handeln med nordkoreanska vapen. RGB utsågs av OFAC den 3 januari 3 enligt EO 3 för att vara en kontrollerad enhet av Nordkoreas regering. RGB listades också i bilagan till EO 2 den 2015 augusti 13687. FN utsåg också RGB den 13551 mars 30.

Lazarus Group var inblandad i den destruktiva WannaCry 2.0-ransomware-attacken som USA, Australien, Kanada, Nya Zeeland och Storbritannien offentligt tillskrev Nordkorea i december 2017. Danmark och Japan utfärdade stödjande uttalanden och flera amerikanska företag vidtog oberoende åtgärder för att störa den nordkoreanska cyberaktiviteten. WannaCry drabbade minst 150 länder runt om i världen och stängde av cirka tre hundra tusen datorer. Bland de offentligt identifierade offren var Storbritanniens (UK) National Health Service (NHS). Cirka en tredjedel av Storbritanniens sekundärvårdssjukhus - sjukhus som tillhandahåller intensivvårdsavdelningar och andra akuttjänster - och åtta procent av allmän medicinsk praxis i Storbritannien lammades av ransomware-attacken, vilket ledde till att mer än 19,000 112 möten avbröts och i slutändan kostade NHS över 2014 miljoner dollar, vilket gör det till det största kända ransomware-utbrottet i historien. Lazarus Group var också direkt ansvarig för de välkända cyberattackerna från XNUMX av Sony Pictures Entertainment (SPE).

Idag utses också två undergrupper av Lazarus Group, varav den första kallas Bluenoroff av många privata säkerhetsföretag. Bluenoroff bildades av den nordkoreanska regeringen för att tjäna pengar olagligt som svar på ökade globala sanktioner. Bluenoroff bedriver skadlig cyberaktivitet i form av cyberaktiverade kupor mot utländska finansinstitut på uppdrag av den nordkoreanska regimen för att generera intäkter, delvis, för sina växande kärnvapen och ballistiska missilprogram. Cybersäkerhetsföretag märkte först denna grupp redan 2014, när Nordkoreas cyberinsatser började fokusera på ekonomisk vinst förutom att få militär information, destabiliserande nätverk eller skrämma motståndare. Enligt bransch- och pressrapportering hade Bluenoroff före 2018 försökt stjäla över 1.1 miljarder dollar från finansinstitut och enligt pressrapporter framgångsrikt genomfört sådana operationer mot banker i Bangladesh, Indien, Mexiko, Pakistan, Filippinerna, Sydkorea , Taiwan, Turkiet, Chile och Vietnam.

Enligt cybersäkerhetsföretag, vanligtvis genom nätfiske och bakdörrintrång, genomförde Bluenoroff framgångsrika operationer riktade till mer än 16 organisationer i 11 länder, inklusive SWIFT-meddelandesystemet, finansinstitut och kryptovalutabörser. I en av Bluenoroffs mest ökända cyberaktiviteter arbetade hackgruppen tillsammans med Lazarus Group för att stjäla cirka 80 miljoner dollar från Centralbanken i Bangladeshs New York Federal Reserve-konto. Genom att utnyttja skadlig programvara som liknar den som ses i SPE-cyberattacken, gjorde Bluenoroff och Lazarus Group över 36 stora överföringar av fondöverföring med hjälp av stulna SWIFT-uppgifter i ett försök att stjäla totalt 851 miljoner dollar innan ett typografiskt fel varnade personal för att förhindra att ytterligare medel från blir stulen.

Den andra undergruppen för Lazarus-gruppen som utses idag är Andariel. Det fokuserar på att bedriva skadlig cyberverksamhet på utländska företag, myndigheter, finansiella tjänster, privata företag och företag samt försvarsindustrin. Cybersäkerhetsföretagen märkte först Andariel runt 2015 och rapporterade att Andariel konsekvent utför cyberbrott för att generera intäkter och rikta Sydkoreas regering och infrastruktur för att samla in information och skapa oordning.

Specifikt observerades Andariel av cybersäkerhetsföretag som försökte stjäla bankkortinformation genom att hacka in bankomater för att ta ut kontanter eller stjäla kundinformation för att senare sälja på den svarta marknaden. Andariel är också ansvarig för att utveckla och skapa unik skadlig kod för att hacka in online poker och hasardspel webbplatser för att stjäla pengar.
Enligt rapporter från industrin och pressen fortsätter Andariel, utöver sina kriminella ansträngningar, att bedriva skadlig cyberaktivitet mot Sydkoreas regeringspersonal och den sydkoreanska militären i ett försök att samla underrättelser. Ett fall som upptäcktes i september 2016 var ett cyberintrång i den sydkoreanska försvarsministerns personaldator vid den tiden och försvarsministeriets intranät för att extrahera underrättelser om militäroperationer.

Förutom skadlig cyberaktivitet på konventionella finansinstitut, utländska regeringar, större företag och infrastruktur riktar sig Nordkoreas cyberverksamhet också till virtuella tillgångsleverantörer och kryptovalutabörser för att möjligen hjälpa till att fördunkla intäktsströmmar och cyberaktiverade stölder som också potentiellt finansierar Nordkoreas WMD och ballistiska missilprogram. Enligt bransch- och pressrapporteringen stal dessa tre statligt sponsrade hackgrupper sannolikt cirka 571 miljoner dollar bara i kryptovaluta från fem börser i Asien mellan januari 2017 och september 2018.

Amerikanska regeringens ansträngningar för att bekämpa nordkoreanska cyberhot

Separat har Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) och US Cyber ​​Command (USCYBERCOM) under de senaste månaderna arbetat tillsammans för att avslöja skadliga prover till den privata cybersäkerhetsindustrin, varav flera senare tillskrivs nordkoreanska cyberaktörer , som en del av ett pågående försök att skydda det amerikanska finansiella systemet och annan kritisk infrastruktur samt att ha störst inverkan på att förbättra den globala säkerheten. Detta, tillsammans med dagens OFAC-åtgärder, är ett exempel på ett regeringsövergripande tillvägagångssätt för att försvara och skydda mot ett ökande nordkoreanskt cyberhot och är ytterligare ett steg i den ihållande engagemangsvision som USCYBERCOM framställt.

Som ett resultat av dagens handling, all egendom och intressen i egendom för dessa enheter och av enheter som ägs, direkt eller indirekt, 50 procent eller mer av de utsedda enheterna, som är i USA eller i besittning eller kontroll av amerikanska personer är blockerade och måste rapporteras till OFAC. OFAC: s regler förbjuder i allmänhet all handel med amerikanska personer eller inom (eller transiterande) USA som involverar egendom eller intressen i egendom som blockeras eller utsedda personer.

Dessutom kan personer som deltar i vissa transaktioner med de enheter som utsetts idag själva utsättas för beteckning. Vidare kan alla utländska finansinstitut som medvetet underlättar en betydande transaktion eller tillhandahåller betydande finansiella tjänster för någon av de enheter som utsetts idag vara föremål för amerikanska korrespondenskonton eller betalningsbara sanktioner.