El Tresor dels Estats Units sanciona grups cibernètics maliciosos patrocinats per l'estat de Corea del Nord

Avui dia, la Departament del Tresor dels Estats UnitsL'Oficina de Control d'Actius Estrangers (OFAC) va anunciar sancions contra tres grups cibernètics maliciosos patrocinats per l'estat de Corea del Nord responsables de Corea del Nordactivitat cibernètica maliciosa en infraestructures crítiques. Les accions d'avui identifiquen els grups de pirateria nord-coreans coneguts habitualment dins de la indústria privada de ciberseguretat mundial com a "Grup Lazarus", "Bluenoroff" i "Andariel" com a agències, instruments o entitats controlades del Govern de Corea del Nord segons l'Ordre executiva (EO) ) 13722, basat en la seva relació amb l'Oficina General de Reconeixement (RGB). Lazarus Group, Bluenoroff i Andariel estan controlats pel RGB designat pels Estats Units i les Nacions Unides (ONU), que és l’oficina principal d’intel·ligència de Corea del Nord.

"Hisenda està prenent mesures contra grups de pirateria nord-coreans que han estat perpetrant atacs cibernètics per donar suport a programes il·lícits d'armes i míssils", va dir Sigal Mandelker, subsecretari del Tresor per al Terrorisme i la Intel·ligència Financera. "Seguirem aplicant les sancions existents als EUA i l'ONU contra Corea del Nord i treballarem amb la comunitat internacional per millorar la ciberseguretat de les xarxes financeres".

Activitat cibernètica maliciosa de Lazarus Group, Bluenoroff i Andariel

El grup Lazarus s’adreça a institucions com governamentals, militars, financers, de fabricació, editorials, mitjans de comunicació, entreteniment i empreses marítimes internacionals, a més d’infraestructures crítiques, mitjançant tàctiques com ara ciberespionatge, robatori de dades, robatoris monetaris i operacions de malware destructives. Creat pel govern de Corea del Nord ja el 2007, aquest grup cibernètic maliciós està subordinat al 110è Centre de Recerca, 3a Oficina del RGB. La tercera oficina també es coneix com la tercera oficina de vigilància tècnica i és responsable de les operacions cibernètiques de Corea del Nord. A més del paper del RGB com a principal entitat responsable de les ciberactivitats malicioses de Corea del Nord, el RGB és també la principal agència d'intel·ligència nord-coreana i participa en el comerç d'armes nord-coreanes. El RGB va ser designat per l’OFAC el 3 de gener de 3 segons l’O 2 per ser una entitat controlada del govern de Corea del Nord. El RGB també es va incloure a l'annex de l'OE 2015 el 13687 d'agost de 13551. L'ONU també va designar el RGB el 30 de març de 2010.

Lazarus Group va participar en l'atac destructiu de ransomware WannaCry 2.0 que els Estats Units, Austràlia, Canadà, Nova Zelanda i el Regne Unit van atribuir públicament a Corea del Nord el desembre del 2017. Dinamarca i el Japó van emetre declaracions de suport i diverses empreses nord-americanes van prendre accions independents per interrompre l’activitat cibernètica nord-coreana. WannaCry va afectar almenys 150 països de tot el món i va apagar aproximadament tres-cents mil ordinadors. Entre les víctimes identificades públicament hi havia el Servei Nacional de Salut (NHS) del Regne Unit (Regne Unit). Aproximadament un terç dels hospitals de cures secundàries del Regne Unit (hospitals que proporcionen unitats de cures intensives i altres serveis d’emergència) i el vuit per cent de les pràctiques mèdiques generals del Regne Unit van quedar paralitzats per l’atac de ransomware, cosa que va suposar la cancel·lació de més de 19,000 cites i, finalment, va costar el NHS supera els 112 milions de dòlars, cosa que el converteix en el brot de ransomware més gran de la història. Lazarus Group també va ser el responsable directe dels coneguts ciberatacs de Sony Pictures Entertainment (SPE) del 2014.

Avui també es designen dos subgrups del grup Lazarus, el primer dels quals és anomenat Bluenoroff per moltes empreses de seguretat privada. Bluenoroff va ser format pel govern de Corea del Nord per obtenir ingressos il·lícitament en resposta a l'augment de les sancions mundials. Bluenoroff duu a terme activitats cibernètiques malicioses en forma de robatoris amb habilitats cibernètiques contra institucions financeres estrangeres en nom del règim de Corea del Nord per generar ingressos, en part, pels seus creixents programes d’armes nuclears i míssils balístics. Les empreses de ciberseguretat van notar aquest grup per primera vegada el 2014, quan els esforços cibernètics de Corea del Nord van començar a centrar-se en els beneficis financers, a més d’obtenir informació militar, desestabilitzar les xarxes o intimidar als adversaris. Segons informes de la indústria i la premsa, el 2018, Bluenoroff havia intentat robar més de 1.1 milions de dòlars a les institucions financeres i, segons informes de premsa, havia realitzat amb èxit aquestes operacions contra bancs de Bangla Desh, Índia, Mèxic, Pakistan, Filipines, Corea del Sud , Taiwan, Turquia, Xile i Vietnam.

Segons les empreses de ciberseguretat, normalment a través de la pesca i la intromissió de portes posteriors, Bluenoroff va dur a terme operacions reeixides dirigides a més de 16 organitzacions de 11 països, inclosos el sistema de missatgeria SWIFT, institucions financeres i intercanvis de criptomonedes. En una de les activitats cibernètiques més notòries de Bluenoroff, el grup de pirateria va treballar conjuntament amb Lazarus Group per robar aproximadament 80 milions de dòlars del compte de la Reserva Federal de Nova York del Banc Central de Bangla Desh. Aprofitant programari maliciós similar al vist en el ciberatac SPE, Bluenoroff i Lazarus Group van fer més de 36 sol·licituds de transferència de fons amb credencials SWIFT robades en un intent de robar un total de 851 milions de dòlars abans que un error tipogràfic alertés el personal per evitar els fons addicionals. sent robat.

El segon subgrup del Grup Lazarus designat avui és Andariel. Se centra en la realització d’operacions cibernètiques malicioses en empreses estrangeres, agències governamentals, infraestructures de serveis financers, empreses privades i empreses, així com en la indústria de la defensa. Les empreses de ciberseguretat es van adonar d’Andariel per primera vegada cap al 2015 i van informar que Andariel executa constantment el ciberdelinqüència per generar ingressos i es dirigeix ​​al govern i a la infraestructura de Corea del Sud per tal de recopilar informació i crear desordre.

Concretament, Andariel va ser observat per empreses de seguretat cibernètica que intentaven robar informació de la targeta bancària piratejant a caixers automàtics per retirar diners en efectiu o robar informació dels clients per vendre-la posteriorment al mercat negre. Andariel també és responsable de desenvolupar i crear programari maliciós únic per piratejar llocs de poker i apostes en línia per robar diners.
Segons els informes de la indústria i la premsa, més enllà dels seus esforços criminals, Andariel continua duent a terme activitats cibernètiques malicioses contra el personal del govern de Corea del Sud i l'exèrcit sud-coreà en un esforç per reunir informació. Un cas detectat al setembre del 2016 va ser una intrusió cibernètica a l’ordinador personal del ministre de Defensa de Corea del Sud que ocupava aquell moment i a la intranet del Ministeri de Defensa per extreure informació d’operacions militars.

A més d’activitats cibernètiques malicioses en institucions financeres convencionals, governs estrangers, grans empreses i infraestructures, les operacions cibernètiques de Corea del Nord també s’adrecen als proveïdors d’actius virtuals i als intercanvis de criptomonedes per ajudar possiblement a ofuscar fluxos d’ingressos i robatoris cibernètics que també financin potencialment els Programes de ADM i míssils balístics. Segons els informes de la indústria i la premsa, és probable que aquests tres grups de pirateria patrocinats per l’estat van robar al voltant de 571 milions de dòlars només en criptomoneda, de cinc borses a Àsia entre gener de 2017 i setembre de 2018.

Esforços del govern dels EUA per combatre les ciberamenaces nord-coreanes

Per separat, l'Agència de Seguretat Cibernètica i Seguretat de la Infraestructura (CISA) del Departament de Seguretat Nacional i el Comandament Cibernètic dels Estats Units (USCYBERCOM) han treballat en tàndem per divulgar mostres de programari maliciós a la indústria privada de la ciberseguretat, diverses de les quals van ser atribuïdes posteriorment a actors cibernètics nord-coreans. , com a part d’un esforç continuat per protegir el sistema financer dels EUA i altres infraestructures crítiques, així com per tenir el major impacte en la millora de la seguretat mundial. Això, juntament amb l’acció actual de l’OFAC, és un exemple d’un enfocament a tot el govern per defensar i protegir contra una creixent ciberamenaça nord-coreana i és un pas més en la visió de compromís persistent exposada per USCYBERCOM.

Com a resultat de l'acció d'avui, totes les propietats i interessos en propietats d'aquestes entitats i de qualsevol entitat que siguin propietat, directa o indirecta, del 50% o més de les entitats designades, que es trobin als Estats Units o que estiguin en possessió o control de persones dels EUA estan bloquejades i han de ser comunicades a l’OFAC. Les regulacions de l’OFAC generalment prohibeixen totes les relacions entre persones nord-americanes o dins dels Estats Units (o que transiten) que impliquin qualsevol propietat o interessos en propietats de persones bloquejades o designades.

A més, les persones que realitzen determinades transaccions amb les entitats designades avui poden estar exposades a la designació. A més, qualsevol institució financera estrangera que faciliti conscientment una transacció significativa o proporcioni serveis financers significatius per a qualsevol de les entitats designades avui podria estar subjecta a un compte de corresponsal nord-americà o sancions a pagar.