Američko ministarstvo finansija sankcionira zlonamjerne sajber grupe koje sponzorira Sjeverna Koreja

Danas, Ministarstvo finansija SADKancelarija za kontrolu strane imovine (OFAC) objavila je sankcije protiv tri zlonamerne sajber grupe koje sponzoriše severnokorejska država odgovorne za Sjeverna Korejazlonamjerna cyber aktivnost na kritičnoj infrastrukturi. Današnje akcije identificiraju sjevernokorejske hakerske grupe koje su poznate u privatnoj industriji globalne kibernetičke sigurnosti kao “Lazarus Group”, “Bluenoroff” i “Andariel” kao agencije, instrumente ili kontrolirane entitete Vlade Sjeverne Koreje u skladu sa Izvršnom naredbom (EO ) 13722, na osnovu njihovog odnosa sa Glavnim biroom za izviđanje (RGB). Lazarus Group, Bluenoroff i Andariel su pod kontrolom RGB-a koji su odredile SAD i Ujedinjene nacije (UN), koji je primarni obavještajni biro Sjeverne Koreje.

"Trezor poduzima mjere protiv sjevernokorejskih hakerskih grupa koje su vršile sajber napade kako bi podržale programe ilegalnog oružja i projektila", rekao je Sigal Mandelker, zamjenik ministra finansija za terorizam i finansijsku obavještajnu službu. “Nastavit ćemo provoditi postojeće sankcije SAD-a i UN-a protiv Sjeverne Koreje i raditi s međunarodnom zajednicom na poboljšanju sajber-sigurnosti finansijskih mreža.”

Zlonamjerna sajber aktivnost Lazarus Group, Bluenoroff i Andariel

Lazarus Grupa cilja na institucije kao što su vlada, vojska, finansije, proizvodnja, izdavaštvo, mediji, zabava i međunarodne brodarske kompanije, kao i na kritičnu infrastrukturu, koristeći taktike kao što su sajber špijunaža, krađa podataka, pljačke novca i destruktivne operacije zlonamjernog softvera. Stvorena od strane vlade Sjeverne Koreje još 2007. godine, ova zlonamjerna sajber grupa je podređena 110. istraživačkom centru, 3. birou RGB-a. Treći biro je također poznat kao 3. biro za tehnički nadzor i odgovoran je za kibernetičke operacije Sjeverne Koreje. Pored uloge RGB-a kao glavnog subjekta odgovornog za zlonamjerne sajber aktivnosti Sjeverne Koreje, RGB je također glavna sjevernokorejska obavještajna agencija i uključena je u trgovinu sjevernokorejskim oružjem. RGB je OFAC odredio 3. januara 2. u skladu sa EO 2015 kao kontrolirani entitet Vlade Sjeverne Koreje. RGB je također naveden u aneksu EO 13687 13551. avgusta 30. UN su također odredile RGB 2010. marta 2. godine.

Lazarus Grupa bila je uključena u destruktivni napad ransomware-a WannaCry 2.0 koji su Sjedinjene Države, Australija, Kanada, Novi Zeland i Ujedinjeno Kraljevstvo javno pripisali Sjevernoj Koreji u decembru 2017. Danska i Japan izdali su potkrepljujuće izjave, a nekoliko američkih kompanija poduzelo je nezavisne radnje da ometaju sajber aktivnosti Sjeverne Koreje. WannaCry je uticao na najmanje 150 zemalja širom svijeta i ugasio oko tri stotine hiljada računara. Među javno identifikovanim žrtvama bila je i Nacionalna zdravstvena služba Ujedinjenog Kraljevstva (UK). Otprilike jedna trećina britanskih bolnica sekundarne njege — bolnica koje pružaju jedinice intenzivne njege i druge hitne službe — i osam posto opće medicinske prakse u UK osakaćene su napadom ransomwarea, što je dovelo do otkazivanja više od 19,000 termina i na kraju koštalo NHS preko 112 miliona dolara, što ga čini najvećom poznatom epidemijom ransomware-a u istoriji. Lazarus grupa je takođe bila direktno odgovorna za poznate sajber napade kompanije Sony Pictures Entertainment (SPE) 2014. godine.

Danas su također označene dvije podgrupe Lazarus grupe, od kojih prvu mnoge privatne sigurnosne firme nazivaju Bluenoroff. Bluenoroff je formirala vlada Sjeverne Koreje kako bi nezakonito zaradila prihod kao odgovor na povećane globalne sankcije. Bluenoroff provodi zlonamjerne cyber aktivnosti u obliku cyber-omogućenih pljački stranih financijskih institucija u ime sjevernokorejskog režima kako bi ostvario prihod, dijelom, za svoje rastuće programe nuklearnog oružja i balističkih projektila. Firme za kibernetičku sigurnost prvi put su primijetile ovu grupu još 2014. godine, kada su sajber napori Sjeverne Koreje počeli da se fokusiraju na finansijsku dobit pored prikupljanja vojnih informacija, destabiliziranja mreža ili zastrašivanja protivnika. Prema izvještajima industrije i štampe, do 2018. Bluenoroff je pokušao ukrasti preko 1.1 milijardu dolara od finansijskih institucija i, prema izvještajima štampe, uspješno je izveo takve operacije protiv banaka u Bangladešu, Indiji, Meksiku, Pakistanu, Filipinima, Južnoj Koreji , Tajvan, Turska, Čile i Vijetnam.

Prema firmama za cyber sigurnost, obično putem phishinga i upada u backdoor, Bluenoroff je izveo uspješne operacije ciljajući na više od 16 organizacija u 11 zemalja, uključujući SWIFT sistem za razmjenu poruka, finansijske institucije i berze kriptovaluta. U jednoj od najozloglašenijih cyber aktivnosti Bluenoroff-a, hakerska grupa je radila zajedno sa Lazarus Group kako bi ukrala približno 80 miliona dolara sa računa Centralne banke Bangladeša Federalnih rezervi u Njujorku. Koristeći zlonamjerni softver sličan onom koji je viđen u sajber napadu SPE, Bluenoroff i Lazarus Group su podnijeli preko 36 velikih zahtjeva za prijenos sredstava koristeći ukradene SWIFT akreditive u pokušaju da ukradu ukupno 851 milion dolara prije nego što je tipografska greška upozorila osoblje kako bi spriječila dodatna sredstva od biti ukraden.

Druga podgrupa Lazarus grupe koja je danas određena je Andariel. Fokusira se na provođenje zlonamjernih sajber operacija na stranim preduzećima, vladinim agencijama, infrastrukturi finansijskih usluga, privatnim korporacijama i preduzećima, kao i odbrambenoj industriji. Firme za kibernetičku sigurnost prvi put su primijetile Andariela oko 2015. godine i izvijestile su da Andariel dosljedno izvršava kibernetičke zločine kako bi ostvario prihod i cilja na vladu i infrastrukturu Južne Koreje kako bi prikupio informacije i stvorio nered.

Konkretno, Andariel su primijetile firme za sajber sigurnost kako pokušavaju ukrasti informacije o bankovnim karticama hakirajući bankomate kako bi podigle gotovinu ili ukrale informacije o klijentima kako bi ih kasnije prodale na crnom tržištu. Andariel je također odgovoran za razvoj i kreiranje jedinstvenog zlonamjernog softvera za hakovanje online poker i kockarskih stranica radi krađe gotovine.
Prema izvještavanju industrije i štampe, Andariel, osim svojih kriminalnih napora, nastavlja provoditi zlonamjerne cyber aktivnosti protiv vladinog osoblja Južne Koreje i vojske Južne Koreje u nastojanju da prikupi obavještajne podatke. Jedan slučaj primećen u septembru 2016. bio je sajber upad u personalni računar južnokorejskog ministra odbrane koji je u to vreme bio na funkciji i intranet Ministarstva odbrane kako bi se izvukli obaveštajni podaci o vojnim operacijama.

Osim zlonamjernih cyber aktivnosti na konvencionalnim finansijskim institucijama, stranim vladama, velikim kompanijama i infrastrukturi, kibernetičke operacije Sjeverne Koreje također ciljaju na dobavljače virtuelnih sredstava i berze kriptovaluta kako bi mogli pomoći u zamagljivanju tokova prihoda i cyber-omogućenim krađama koje također potencijalno financiraju sjevernokorejske Programi za oružje za masovno uništenje i balističke rakete. Prema izvještajima industrije i štampe, ove tri hakerske grupe koje sponzorira država vjerovatno su ukrale oko 571 milion dolara samo u kriptovalutama, sa pet berzi u Aziji između januara 2017. i septembra 2018.

Napori američke vlade u borbi protiv kibernetičkih prijetnji Sjeverne Koreje

Odvojeno, Agencija za kibernetičku i infrastrukturnu sigurnost Ministarstva domovinske sigurnosti (CISA) i američka kibernetička komanda (USCYBERCOM) posljednjih su mjeseci radile zajedno na otkrivanju uzoraka zlonamjernog softvera privatnoj industriji sajber sigurnosti, od kojih je nekoliko kasnije pripisano sjevernokorejskim sajber akterima , kao dio stalnih napora da se zaštiti američki finansijski sistem i druga kritična infrastruktura, kao i da ima najveći uticaj na poboljšanje globalne sigurnosti. Ovo, zajedno s današnjom akcijom OFAC-a, primjer je vladinog pristupa obrani i zaštiti od rastuće kibernetičke prijetnje Sjeverne Koreje i još jedan korak u viziji upornog angažmana koju je postavio USCYBERCOM.

Kao rezultat današnje akcije, sva imovina i interesi u imovini ovih subjekata, kao i svih subjekata koji su u vlasništvu, direktno ili indirektno, 50 posto ili više od strane određenih subjekata, a koji su u Sjedinjenim Državama ili u posjedu ili kontroli američkih osoba su blokirane i moraju se prijaviti OFAC-u. OFAC-ovi propisi općenito zabranjuju sve poslove američkih osoba ili unutar (ili u tranzitu) Sjedinjenih Država koji uključuju bilo kakvu imovinu ili interese u imovini blokiranih ili određenih osoba.

Osim toga, osobe koje sudjeluju u određenim transakcijama sa subjektima koji su danas navedeni mogu i sami biti izloženi imenovanju. Štaviše, svaka strana finansijska institucija koja svjesno omogućava značajnu transakciju ili pruža značajne finansijske usluge za bilo koji od subjekata koji su danas imenovani mogla bi biti podvrgnuta američkim korespondentnim računima ili sankcijama za plaćanje.