Il Tesoro statunitense sanziona i gruppi informatici dannosi sponsorizzati dallo stato nordcoreano

Oggi, la Dipartimento degli Stati Uniti del TesoroL'Office of Foreign Assets Control (OFAC) ha annunciato sanzioni contro tre gruppi informatici dannosi sponsorizzati dallo stato nordcoreano responsabili di Corea del nordattività informatica dannosa su infrastrutture critiche. Le azioni odierne identificano i gruppi di hacker nordcoreani comunemente noti nel settore privato della sicurezza informatica globale come "Gruppo Lazarus", "Bluenoroff" e "Andariel" come agenzie, enti o entità controllate dal governo della Corea del Nord ai sensi dell'Ordine esecutivo (EO ) 13722, in base al loro rapporto con il Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff e Andariel sono controllati da RGB designato da Stati Uniti e Nazioni Unite (ONU), che è il principale ufficio di intelligence della Corea del Nord.

"Il Tesoro sta prendendo provvedimenti contro i gruppi di hacker nordcoreani che hanno perpetrato attacchi informatici a sostegno di programmi di armi e missili illeciti", ha affermato Sigal Mandelker, Sottosegretario al Tesoro per il terrorismo e l'intelligence finanziaria. "Continueremo a far rispettare le sanzioni esistenti degli Stati Uniti e delle Nazioni Unite contro la Corea del Nord e collaboreremo con la comunità internazionale per migliorare la sicurezza informatica delle reti finanziarie".

Attività informatica dannosa di Lazarus Group, Bluenoroff e Andariel

Lazarus Group si rivolge a istituzioni come il governo, l'esercito, la finanza, la produzione, l'editoria, i media, l'intrattenimento e le compagnie di navigazione internazionali, nonché infrastrutture critiche, utilizzando tattiche come spionaggio informatico, furto di dati, rapine monetarie e operazioni distruttive di malware. Creato dal governo nordcoreano già nel 2007, questo gruppo informatico dannoso è subordinato al 110th Research Center, 3rd Bureau of the RGB. Il 3 ° ufficio è noto anche come 3 ° ufficio di sorveglianza tecnica ed è responsabile delle operazioni informatiche della Corea del Nord. Oltre al ruolo di RGB come principale entità responsabile delle attività informatiche dannose della Corea del Nord, l'RGB è anche la principale agenzia di intelligence nordcoreana ed è coinvolta nel commercio di armi nordcoreane. L'RGB è stato designato dall'OFAC il 2 gennaio 2015 ai sensi della EO 13687 come entità controllata dal governo della Corea del Nord. L'RBG è stato anche elencato nell'allegato a EO 13551 il 30 agosto 2010. Anche l'ONU ha designato l'RBG il 2 marzo 2016.

Il gruppo Lazarus è stato coinvolto nel distruttivo attacco ransomware WannaCry 2.0 che Stati Uniti, Australia, Canada, Nuova Zelanda e Regno Unito hanno pubblicamente attribuito alla Corea del Nord nel dicembre 2017. Danimarca e Giappone hanno rilasciato dichiarazioni di supporto e diverse società statunitensi hanno intrapreso azioni indipendenti per interrompere l'attività informatica nordcoreana. WannaCry ha colpito almeno 150 paesi in tutto il mondo e ha spento circa trecentomila computer. Tra le vittime identificate pubblicamente c'era il servizio sanitario nazionale (NHS) del Regno Unito (UK). Circa un terzo degli ospedali di cure secondarie del Regno Unito - ospedali che forniscono unità di terapia intensiva e altri servizi di emergenza - e l'19,000% delle pratiche mediche generali nel Regno Unito sono stati paralizzati dall'attacco ransomware, portando alla cancellazione di oltre 112 appuntamenti e, in ultima analisi, a costi il NHS oltre $ 2014 milioni, rendendolo la più grande epidemia di ransomware conosciuta nella storia. Lazarus Group è stato anche direttamente responsabile dei noti attacchi informatici del XNUMX di Sony Pictures Entertainment (SPE).

Oggi sono designati anche due sottogruppi del Gruppo Lazarus, il primo dei quali è indicato come Bluenoroff da molte società di sicurezza private. Bluenoroff è stata costituita dal governo nordcoreano per guadagnare entrate illecitamente in risposta all'aumento delle sanzioni globali. Bluenoroff conduce attività informatiche dannose sotto forma di rapine abilitate dal cibernetico contro istituzioni finanziarie straniere per conto del regime nordcoreano per generare entrate, in parte, per le sue armi nucleari in crescita e programmi di missili balistici. Le aziende di sicurezza informatica hanno notato per la prima volta questo gruppo già nel 2014, quando gli sforzi informatici della Corea del Nord hanno iniziato a concentrarsi sul guadagno finanziario oltre a ottenere informazioni militari, reti destabilizzanti o intimidazioni agli avversari. Secondo quanto riportato dall'industria e dalla stampa, entro il 2018 Bluenoroff aveva tentato di sottrarre oltre 1.1 miliardi di dollari alle istituzioni finanziarie e, secondo quanto riportato dalla stampa, aveva portato a termine con successo tali operazioni contro banche in Bangladesh, India, Messico, Pakistan, Filippine, Corea del Sud. , Taiwan, Turchia, Cile e Vietnam.

Secondo le società di sicurezza informatica, in genere attraverso phishing e intrusioni backdoor, Bluenoroff ha condotto operazioni di successo rivolte a più di 16 organizzazioni in 11 paesi, tra cui il sistema di messaggistica SWIFT, istituzioni finanziarie e scambi di criptovaluta. In una delle attività cibernetiche più famose di Bluenoroff, il gruppo di hacker ha collaborato con Lazarus Group per rubare circa $ 80 milioni di dollari dal conto della Federal Reserve di New York della Banca Centrale del Bangladesh. Sfruttando malware simile a quello visto nell'attacco informatico SPE, Bluenoroff e Lazarus Group hanno effettuato oltre 36 richieste di trasferimento di fondi di grandi dimensioni utilizzando credenziali SWIFT rubate nel tentativo di rubare un totale di 851 milioni di dollari prima che un errore tipografico avvisasse il personale per impedire che i fondi aggiuntivi essere stato rubato.

Il secondo sottogruppo del Gruppo Lazarus designato oggi è Andariel. Si concentra sulla conduzione di operazioni informatiche dannose su aziende straniere, agenzie governative, infrastrutture di servizi finanziari, società private e aziende, nonché l'industria della difesa. Le aziende di sicurezza informatica hanno notato per la prima volta Andariel intorno al 2015 e hanno riferito che Andariel esegue costantemente il crimine informatico per generare entrate e prende di mira il governo e le infrastrutture della Corea del Sud al fine di raccogliere informazioni e creare disordine.

In particolare, Andariel è stato osservato da società di sicurezza informatica che tentavano di rubare le informazioni della carta di credito hackerando gli sportelli automatici per prelevare contanti o rubare informazioni sui clienti per poi venderle sul mercato nero. Andariel è anche responsabile dello sviluppo e della creazione di malware unico per hackerare siti di poker e giochi d'azzardo online per rubare denaro.
Secondo l'industria e la stampa, al di là dei suoi sforzi criminali, Andariel continua a condurre attività informatiche dannose contro il personale governativo della Corea del Sud e l'esercito sudcoreano nel tentativo di raccogliere informazioni. Un caso individuato nel settembre 2016 è stata un'intrusione informatica nel personal computer del ministro della Difesa sudcoreano in carica in quel momento e nell'intranet del ministero della Difesa al fine di estrarre informazioni sulle operazioni militari.

Oltre alle attività informatiche dannose su istituzioni finanziarie convenzionali, governi stranieri, grandi aziende e infrastrutture, le operazioni informatiche della Corea del Nord prendono di mira anche i fornitori di risorse virtuali e gli scambi di criptovaluta per eventualmente aiutare a offuscare i flussi di entrate e i furti abilitati dal cyber che potenzialmente finanziano anche la Corea del Nord WMD e programmi di missili balistici. Secondo l'industria e la stampa, questi tre gruppi di hacking sponsorizzati dallo stato probabilmente hanno rubato circa 571 milioni di dollari in criptovaluta da soli, da cinque scambi in Asia tra gennaio 2017 e settembre 2018.

Sforzi del governo degli Stati Uniti per combattere le minacce informatiche della Corea del Nord

Separatamente, negli ultimi mesi la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security e l'US Cyber ​​Command (USCYBERCOM) hanno lavorato in tandem per divulgare campioni di malware al settore privato della sicurezza informatica, molti dei quali sono stati successivamente attribuiti ad attori informatici nordcoreani , come parte di uno sforzo continuo per proteggere il sistema finanziario statunitense e altre infrastrutture critiche, nonché per avere il massimo impatto sul miglioramento della sicurezza globale. Questo, insieme all'azione odierna dell'OFAC, è un esempio di un approccio a livello di governo alla difesa e alla protezione contro una crescente minaccia informatica nordcoreana ed è un ulteriore passo nella visione di impegno persistente stabilita da USCYBERCOM.

Come risultato dell'azione odierna, tutti i beni e gli interessi nella proprietà di queste entità e di qualsiasi entità che è posseduta, direttamente o indirettamente, per il 50% o più dalle entità designate, che si trovano negli Stati Uniti o in possesso o controllo delle persone statunitensi sono bloccate e devono essere segnalate all'OFAC. Le normative dell'OFAC vietano in genere tutti i rapporti tra persone statunitensi o all'interno (o in transito) degli Stati Uniti che coinvolgono proprietà o interessi in proprietà di persone bloccate o designate.

Inoltre, le persone che effettuano determinate operazioni con le entità designate oggi possono essere esse stesse esposte alla designazione. Inoltre, qualsiasi istituzione finanziaria estera che faciliti consapevolmente una transazione significativa o fornisce servizi finanziari significativi per una qualsiasi delle entità designate oggi potrebbe essere soggetta al conto corrispondente negli Stati Uniti o a sanzioni passibili di pagamento.