Mandiant, firma zajmująca się bezpieczeństwem cybernetycznym, która została niedawno przejęta przez Google, opublikowała raport opisujący niektóre z operacji cybernetycznych Korei Północnej oraz to, jak kraj ten wykorzystuje hakerów do pozyskiwania środków finansowych poprzez kradzieże kryptowalut.
Korea Północna zatrudnia hakerów do finansowania niektórych operacji państwowych poprzez „kradzieże kryptowalut”, zgodnie z raportem firmy Mandiant zajmującej się bezpieczeństwem cybernetycznym.
„Uważa się, że szpiegowskie operacje Korei odzwierciedlają najpilniejsze obawy i priorytety reżimu, który obecnie prawdopodobnie koncentruje się na pozyskiwaniu środków finansowych za pomocą włamań do kryptowalut, atakowaniu mediów, wiadomości i podmiotów politycznych, informacji o stosunkach zagranicznych i informacji nuklearnych oraz niewielkim spadku liczby kradzieży szczepionki COVID-19. „
Raport szczegółowo opisuje operacje cybernetyczne kraju i ich strukturę w ramach Biura Rozpoznania Ogólnego (Reconnaissance General Bureau, RGB) – północnokoreańskiej agencji wywiadowczej podobnej do CIA lub MI-6. Raport rzuca również światło na niesławną grupę hakerów „Lazarus”, która od 2009 r. działa w Korei Północnej.
Według raportu Lazarus nie jest pojedynczą grupą hakerów, a raczej terminem zbiorczym, którego reporterzy używają w odniesieniu do wielu różnych wspieranych przez państwo grup hakerów działających w Koreańskiej Republice Demokratycznej. Te różne grupy działają jednak w różnych „sektorach” i mają różne obowiązki. Jednym z nich jest pozyskiwanie funduszy poprzez kradzież kryptowalut.
Oceniono strukturę cybernetycznych programów KRLD
Najnowsze działania w zakresie cyberszpiegostwa
Grupy hakerów powiązane z Lazarusem były ostatnio aktywne i wykorzystywały lukę w zabezpieczeniach przeglądarki google Chrome od początku stycznia 2022 roku do połowy lutego, kiedy to luka została załatana.
Grupa Analizy Zagrożeń Google’a (TAG) stwierdziła we wpisie na blogu z 24 marca, że wspierane przez państwo północnokoreańskie grupy atakujące – znane publicznie jako „Operation Dream Job” i „Operation AppleJeus” – wykorzystywały lukę w przeglądarce Chrome polegającą na „zdalnym wykonywaniu kodu” od początku stycznia 2022 r. do przeprowadzania różnych włamań i ataków phishingowych. Adam Weidemann z firmy TAG powiedział w swoim wpisie na blogu:
„Zaobserwowaliśmy kampanie skierowane do organizacji z siedzibą w Stanach Zjednoczonych, obejmujące media informacyjne, IT, kryptowaluty i branże fintech. Jednakże, celem mogły być również inne organizacje i kraje. „
Wykorzystywany exploit pozwalał hakerom na wysyłanie fałszywych ofert pracy do osób pracujących w wyżej wymienionych branżach, które następnie prowadziły do spreparowanych wersji popularnych stron internetowych służących do poszukiwania pracy, takich jak Indeed.com. Zestaw exploitów i phishing są podobne do tych, które zostały namierzone w ramach operacji Dream Job. W międzyczasie inna grupa hakerów wzięła na cel firmy kryptowalutowe i giełdy przy użyciu tego samego zestawu exploitów.
Google powiedział, że grupy hakerów wzięły na cel około 340 osób. Dodał, że wszystkie zidentyfikowane strony internetowe i domeny zostały dodane do usługi Bezpieczne przeglądanie, aby chronić użytkowników i nadal monitoruje sytuację.
Lazarus bierze na cel usługi finansowe, kryptowaluty
Grupy hakerów powiązane z firmą Lazarus już od kilku lat biorą udział w różnych włamaniach do firm kryptowalutowych i tradycyjnych banków. Niektóre warte uwagi włamania obejmują cyberatak na Bank Bangladesh z 2016 r. oraz różne ataki związane z kryptowalutami w 2017 r.
Główną grupą hakerów koncentrującą się na atakach na usługi finansowe jest APT38, która stała za głośnym włamaniem do SWIFT. Obejmuje ona podgrupę o nazwie CryptoCore lub „Open Password”.
Większość z tych włamań zakończyła się sukcesem i szacuje się, że hakerzy zebrali dla Korei Północnej ponad 400 mln USD. W wyniku dochodzenia przeprowadzonego przez ONZ stwierdzono, że dochody z tych cyberprzestępstw zostały wykorzystane do sfinansowania programu rakiet balistycznych w tym pustynnym kraju.
