Mandiant, een cyberbeveiligingsbedrijf dat onlangs werd overgenomen door Google, heeft een rapport uitgebracht waarin enkele cyberoperaties van Noord-Korea in detail worden beschreven en hoe het land hackers gebruikt om geld te vergaren via diefstal van crypto-activa.
Noord-Korea heeft hackers ingezet om sommige staatsoperaties te financieren via “crypto roofovervallen”, volgens een rapport van cyberbeveiligingsbedrijf Mandiant.
“De spionageoperaties van het land worden verondersteld een afspiegeling te zijn van de onmiddellijke zorgen en prioriteiten van het regime, dat zich momenteel waarschijnlijk richt op het verwerven van financiële middelen via crypto-overvallen, het richten van media, nieuws en politieke entiteiten, informatie over buitenlandse betrekkingen en nucleaire informatie, en een lichte daling in het ooit gepiekte stelen van COVID-19-vaccinonderzoek. “
Het rapport geeft details over de cyberoperaties van het land en hoe deze zijn gestructureerd binnen het Reconnaissance General Bureau, of RGB – de inlichtingendienst van Noord-Korea die verwant is aan de CIA of MI-6. Het rapport werpt ook licht op de beruchte hackersgroep “Lazarus”, die sinds 2009 vanuit Noord-Korea opereert.
Volgens het rapport is Lazarus niet één groep hackers, maar een overkoepelende term die verslaggevers gebruiken om te verwijzen naar een groot aantal verschillende door de staat gesteunde hackersgroepen die vanuit de Democratische Republiek Noord-Korea opereren. Deze verschillende groepen opereren echter in verschillende “sectoren” en hebben unieke verantwoordelijkheden. Een van de verantwoordelijkheden is het werven van fondsen door het stelen van cryptocurrencies.
Assessed cyber structure of DPRK cyber programs
Laatste cyberspionage-activiteit
Hackersgroepen die gelinkt zijn aan Lazarus zijn onlangs actief geweest en maakten misbruik van een kwetsbaarheid in Google Chrome van begin januari 2022 tot half februari, toen de exploit werd gepatcht.
Google’s Threat Analysis Group, of TAG, zei in een blogpost op 24 maart dat door de Noord-Koreaanse staat gesteunde aanvalsgroepen – publiekelijk getraceerd als “Operation Dream Job” en “Operation AppleJeus” – sinds begin januari 2022 een “remote code execution vulnerability in Chrome” hadden uitgebuit om verschillende hacks en phishing-aanvallen uit te voeren. Adam Weidemann van TAG zei in de blogpost:
“We observeerden de campagnes gericht op in de VS gevestigde organisaties verspreid over nieuwsmedia, IT, cryptocurrency en fintech-industrieën. Andere organisaties en landen kunnen echter ook het doelwit zijn geweest.
Met de exploit konden de hackers nepvacatures sturen naar mensen die in de genoemde sectoren werken, die vervolgens leidden naar vervalste versies van populaire websites voor het zoeken naar een baan, zoals Indeed.com. De exploit kit en phishing zijn vergelijkbaar met die welke zijn opgespoord in Operation Dream Job. Ondertussen heeft een andere hackersgroep zich gericht op cryptobedrijven en -beurzen met behulp van dezelfde exploit kit.Google zei dat ruwweg 340 mensen het doelwit waren geworden van hackersgroepen. Het voegde eraan toe dat alle geïdentificeerde websites en domeinen werden toegevoegd aan zijn Safe Browsing-service om gebruikers te beschermen en het blijft de situatie in de gaten houden.
Lazarus richt zich op financiële diensten, crypto
Lazarus-gelinkte hackersgroepen zijn al enkele jaren betrokken bij verschillende hacks op cryptofirma’s en traditionele banken. Enkele opmerkelijke hacks zijn de Bangladesh Bank cyberheist van 2016 en verschillende crypto-gerelateerde aanvallen in 2017.
De belangrijkste hackersgroep die zich richt op aanvallen op financiële diensten is APT38, die achter de beruchte SWIFT-hack zat. Het omvat een subgroep genaamd CryptoCore of “Open Password.”
De meeste van deze hacks waren succesvol en naar schatting hebben hackers meer dan 400 miljoen dollar voor Noord-Korea bijeengebracht. Een onderzoek van de VN concludeerde dat de opbrengsten van deze cyberovervallen zijn gebruikt om het ballistische raketprogramma van het kluizenaarsland te financieren.
