美國指控朝鮮黑客盜竊13億美元
近日,FBI、CISA 和美國財政部提交了有關自 2018 年以來朝鮮黑客竊取加密貨幣的指控書。美國政府對三名屬于朝鮮軍事情報局偵察總局(RGB)的黑客發起了非公開起訴,指控幾人在近年來的多次網絡攻擊中擔任主要角色,從全球竊取了超過 13 億美元。
同時,FBI、財政部和美國國土安全部的網絡安全與基礎設施安全局(CISA)也發布了與朝鮮有關的、名為 AppleJeus 的攻擊行動的惡意軟件詳細信息和 IoC 指標。美國政府公開發布了自首次發現該惡意軟件以來出現的七個 AppleJeus 變種的詳細信息。助理總檢察長 John Demers 在準備好的聲明中表示美國政府將會繼續揭露朝鮮的攻擊行動,同時他也強調起訴另一個國家的攻擊行為需要建立國際共識。
本月初,監測朝鮮活動的專家小組向聯合國安理會提交了一份報告,報告顯示朝鮮通過對金融公司和加密貨幣交易所發起網絡攻擊以竊取發展核現代化的資金。
其中一個黑客是 Park Jin Hyok(36 歲),在 2018 年美國政府就因參與眾多網絡攻擊對他提起指控,其中包括 2014 年對 SONY 的攻擊、2017 年 WannaCry 的攻擊以及 2016 年從 Bangladesh 銀行盜竊 8100 萬美元。
另外兩人分別是 Jon Chang Hyok(31 歲)和 Kim Il(27 歲),據稱他們與 Park 一起開展了攻擊行動。在指控中,美國政府聲稱這幾個人需要為對越南、孟加拉國、中國臺灣和其他國家/地區的銀行發起的攻擊而負責,這些攻擊總共竊取了超過 12 億美元。其他攻擊行動也包括 ATM cash-out 攻擊、勒索軟件攻擊、惡意加密貨幣應用程序的創建和分發以及竊取加密貨幣。
這三個人都被確定為 RGB 的成員,該組織長期被網絡安全行業追蹤,如 Lazarus Group、APT38、Stardust Chollima 等。
另外,還一同起訴了一位 37 歲的加拿大裔美國人 Ghaleb Alaumary。目前他對幫助朝鮮進行大規模洗錢已經認罪伏法。
LogRhythm 首席產品官 Rusty Carter 表示:“大家可能會對起訴書中的細節感到驚訝,該組織的核心動機是利益驅動,活動范圍廣且方法多樣。不僅針對政府和大型金融公司,連消費者個人也不放過”。
去年 9 月,Intel 471 檢查了多來源數據,得出的結論:朝鮮攻擊者也活躍于地下市場,并與講俄語的頂尖犯罪網絡集團(如 TA505)保持密切聯系。該公司發現,朝鮮攻擊者編寫并打算使用的惡意軟件很可能是通過屬于俄羅斯網絡犯罪分子的網絡基礎設施進行分發傳播的。Intel 471 首席執行官 Mark Arena 認為,說俄語的網絡犯罪分子為朝鮮的攻擊者提供了進入金融機構的通道。在金融機構內部進行后續入侵活動是一項復雜的任務,朝鮮攻擊者多年來已經成功地完成了很多次攻擊。
包括 NTT Security 和 SentineOne 在內的其他公司也指出,朝鮮攻擊者與總部位于俄羅斯的攻擊者之間存在潛在的合作關系。
此外,攻擊者還通過網絡釣魚和社會工程技巧來分發惡意軟件。攻擊對象涵蓋多個行業:包括政府、金融、能源、技術和電信。受害者包括美國、加拿大、中國、德國、印度、意大利和日本。
參考來源:
