美国财政部制裁朝鲜政府资助的恶意网络集团

美国财政部制裁朝鲜政府资助的恶意网络集团

今天, 美国财政部的外国资产控制办公室(OFAC)宣布了针对三个由朝鲜政府资助,负责网络的恶意网络集团的制裁措施 北朝鲜在关键基础架构上的恶意网络活动。 根据今天的行动,在全球网络安全私营行业中通常被称为“ Lazarus Group”,“ Bluenoroff”和“ Andariel”的朝鲜黑客组织是根据行政命令(EO)的朝鲜政府机构,工具或受控实体)13722,基于他们与侦察总局(RGB)的关系。 Lazarus Group,Bluenoroff和Andariel由美国和联合国指定的RGB(北朝鲜的主要情报局)控制。

“财政部正在对一直在进行网络攻击以支持非法武器和导弹计划的朝鲜黑客组织采取行动,”财政部负责恐怖主义和金融情报的副部长曼格德克(Sigal Mandelker)说。 “我们将继续执行美国和联合国对朝鲜的现有制裁,并与国际社会合作,以改善金融网络的网络安全。”

Lazarus Group,Bluenoroff和Andariel的恶意网络活动

Lazarus Group使用网络间谍活动,数据盗窃,金钱抢劫和破坏性恶意软件操作等策略,针对政府,军事,金融,制造,出版,媒体,娱乐和国际航运公司等机构以及关键基础设施。 这个恶意的网络组织早在2007年就由朝鲜政府创建,隶属于RGB第三局第110研究中心。 第三局也称为第三技术监视局,负责朝鲜的网络运营。 RGB不仅是负责朝鲜恶意网络活动的主要实体,而且还是北朝鲜情报机构的主要机构,并参与朝鲜武器贸易。 RGB由OFAC于3年3月3日根据EO 2的规定指定为朝鲜政府的控制实体。 RGB也在2015年13687月13551日的EO 30附件中列出。联合国还在2010年2月2016日指定了RGB。

Lazarus Group参与了破坏性的WannaCry 2.0勒索软件攻击,美国,澳大利亚,加拿大,新西兰和英国于2017年150月公开将其归咎于朝鲜。丹麦和日本发表了支持性声明,几家美国公司采取了独立行动来破坏朝鲜的网络活动。 WannaCry影响了全球至少19,000个国家,并关闭了大约112万台计算机。 在公开确定的受害者中,有英国国家卫生服务局(NHS)。 英国约有三分之一的二级保健医院(提供重症监护病房和其他急诊服务的医院)和英国一般医疗实践的2014%受勒索软件攻击的破坏,导致取消了XNUMX多个预约,最终导致成本上升NHS的收入超过XNUMX亿美元,使其成为历史上最大的已知勒索软件爆发。 Lazarus Group还直接负责XNUMX年著名的Sony Pictures Entertainment(SPE)网络攻击。

今天还指定了拉撒路集团的两个小组,其中第一个小组被许多私人保安公司称为Bluenoroff。 Bluenoroff由朝鲜政府组建,目的是在全球制裁增加的情况下非法赚取收入。 Bluenoroff代表北朝鲜政权以网络盗窃的形式进行了恶意的网络活动,抢劫外国金融机构,从而为其增加的核武器和弹道导弹计划创造了收入。 网络安全公司最早在2014年就注意到了该组织,当时朝鲜的网络工作开始着眼于获取军事信息,破坏网络稳定或恐吓对手的经济收益。 根据行业和新闻报道,到2018年,Bluenoroff曾试图从金融机构窃取超过1.1亿美元,并且根据新闻报道,成功对孟加拉国,印度,墨西哥,巴基斯坦,菲律宾,韩国的银行进行了此类操作,台湾,土耳其,智利和越南。

据网络安全公司称,Bluenoroff通常通过网络钓鱼和后门入侵进行了成功的运营,目标是针对16个国家/地区的11个以上组织,其中包括SWIFT消息传递系统,金融机构和加密货币交易所。 在Bluenoroff最臭名昭著的网络活动之一中,黑客组织与Lazarus Group共同从孟加拉国中央银行的纽约联邦储备银行帐户中窃取了大约80万美元。 通过利用类似于SPE网络攻击中看到的恶意软件,Bluenoroff和Lazarus Group使用被盗的SWIFT凭证提出了36笔以上的大型资金转账请求,以试图窃取总计851亿美元,然后再出现印刷错误,以提醒工作人员防止额外资金来自被偷。

今天指定的第二个拉撒路集团子小组是Andariel。 它着重于对外国企业,政府机构,金融服务基础设施,私人公司和企业以及国防工业进行恶意网络操作。 网络安全公司首先在2015年左右注意到了安达里尔,并报告说安达里尔一贯执行网络犯罪来产生收入,并瞄准了韩国政府和基础设施,以收集信息并制造混乱。

具体来说,网络安全公司观察到Andariel的行为,他们试图通过侵入ATM机提取现金或窃取客户信息以在黑市上出售,从而窃取银行卡信息。 Andariel还负责开发和创建独特的恶意软件,以侵入在线扑克和赌博网站以窃取现金。
根据行业和媒体的报道,除了犯罪行为之外,Andariel继续对韩国政府人员和韩国军方进行恶意网络活动,以收集情报。 2016年XNUMX月发现的一个案例是,当时有网络入侵韩国现任韩国国防部长的个人计算机以及国防部的内部网,以提取军事行动情报。

除了传统金融机构,外国政府,主要公司和基础设施上的恶意网络活动外,朝鲜的网络运营还以虚拟资产提供商和加密货币交易所为目标,以帮助混淆收入流和网络盗窃,这也有可能为朝鲜大规模杀伤性武器和弹道导弹计划。 根据行业和新闻报道,571年2017月至2018年XNUMX月,这三个由国家资助的黑客组织仅在亚洲的五个交易所中就可能窃取了约XNUMX亿美元的加密货币。

美国政府努力打击朝鲜网络威胁

另外,国土安全部的网络安全和基础设施安全局(CISA)和美国网络司令部(USCYBERCOM)在最近几个月共同努力,向私有网络安全行业披露了恶意软件样本,其中一些后来被归因于朝鲜网络参与者,这是保护美国金融系统和其他关键基础设施以及对改善全球安全产生最大影响的持续努力的一部分。 这与今天的OFAC行动一起,是政府范围内保卫和抵御日益增加的朝鲜网络威胁的方法的一个例子,也是USCYBERCOM提出的持久参与愿景的又一步。

由于采取了今天的行动,这些实体以及由指定实体直接或间接拥有或拥有或控制或拥有美国50%或以上的任何实体的所有财产和财产权益的美国人员被封锁,必须向OFAC报告。 OFAC的法规通常禁止美国人或在美国境内(或过境)在美国进行的所有涉及被禁或指定人财产的财产或权益的交易。

此外,与今天指定的实体进行某些交易的人员可能自己也有可能被指定。 此外,任何故意为今天指定的任何实体提供便利的重要交易或提供重要金融服务的外国金融机构都可能受到美国代理帐户或应付清算制裁的约束。

关于作者

首席作业编辑头像

首席作业编辑

首席作业编辑是 Oleg Siziakov

分享给...