Bộ Tài chính Hoa Kỳ trừng phạt các nhóm mạng độc hại do nhà nước bảo trợ của Triều Tiên

Ngày nay, Bộ Tài chính Hoa KỳVăn phòng Kiểm soát Tài sản Nước ngoài (OFAC) đã công bố các lệnh trừng phạt nhắm vào ba nhóm mạng độc hại do nhà nước Bắc Triều Tiên bảo trợ chịu trách nhiệm về Bắc Triều Tiênhoạt động mạng độc hại trên cơ sở hạ tầng quan trọng. Các hành động hôm nay xác định các nhóm hack của Triều Tiên thường được biết đến trong ngành công nghiệp tư nhân an ninh mạng toàn cầu là “Lazarus Group”, “Bluenoroff” và “Andariel” là các cơ quan, công cụ hoặc thực thể được kiểm soát của Chính phủ Triều Tiên theo Lệnh hành pháp (EO 13722, dựa trên mối quan hệ của họ với Tổng cục Trinh sát (RGB). Lazarus Group, Bluenoroff và Andariel được kiểm soát bởi RGB có ký hiệu của Hoa Kỳ và Liên hợp quốc (LHQ), là cơ quan tình báo chính của Triều Tiên.

Sigal Mandelker, Bộ trưởng Bộ Tài chính và Khủng bố và Tình báo Tài chính cho biết: “Bộ Tài chính đang hành động chống lại các nhóm hack của Triều Tiên đã tiến hành các cuộc tấn công mạng để hỗ trợ các chương trình vũ khí và tên lửa bất hợp pháp. “Chúng tôi sẽ tiếp tục thực thi các biện pháp trừng phạt hiện có của Hoa Kỳ và Liên hợp quốc đối với Triều Tiên và làm việc với cộng đồng quốc tế để cải thiện an ninh mạng của các mạng tài chính”.

Hoạt động mạng độc hại của Lazarus Group, Bluenoroff và Andariel

Lazarus Group nhắm mục tiêu vào các tổ chức như chính phủ, quân đội, tài chính, sản xuất, xuất bản, truyền thông, giải trí và các công ty vận chuyển quốc tế, cũng như cơ sở hạ tầng quan trọng, sử dụng các chiến thuật như gián điệp mạng, đánh cắp dữ liệu, cướp tiền và các hoạt động phần mềm độc hại phá hoại. Được thành lập bởi Chính phủ Triều Tiên vào đầu năm 2007, nhóm không gian mạng độc hại này trực thuộc Trung tâm Nghiên cứu số 110, Cục 3 của RGB. Cục 3 còn được gọi là Cục Giám sát Kỹ thuật số 3 và chịu trách nhiệm về các hoạt động không gian mạng của Triều Tiên. Ngoài vai trò của RGB là thực thể chính chịu trách nhiệm về các hoạt động mạng độc hại của Triều Tiên, RGB cũng là cơ quan tình báo chính của Triều Tiên và có liên quan đến việc buôn bán vũ khí của Triều Tiên. RGB được OFAC chỉ định vào ngày 2 tháng 2015 năm 13687 theo EO 13551 vì là một thực thể được kiểm soát của Chính phủ Triều Tiên. RGB cũng được liệt kê trong phụ lục của EO 30 vào ngày 2010 tháng 2 năm 2016. LHQ cũng chỉ định RGB vào ngày XNUMX tháng XNUMX năm XNUMX.

Lazarus Group đã tham gia vào cuộc tấn công bằng ransomware WannaCry 2.0 phá hoại mà Hoa Kỳ, Úc, Canada, New Zealand và Vương quốc Anh đã công khai quy kết cho Triều Tiên vào tháng 2017 năm 150. Đan Mạch và Nhật Bản đã đưa ra các tuyên bố ủng hộ và một số công ty Hoa Kỳ đã có những hành động độc lập để phá vỡ hoạt động mạng của Triều Tiên. WannaCry đã ảnh hưởng đến ít nhất 19,000 quốc gia trên thế giới và đóng cửa khoảng ba trăm nghìn máy tính. Trong số các nạn nhân được công khai danh tính có Dịch vụ Y tế Quốc gia Vương quốc Anh (NHS). Khoảng 112/2014 các bệnh viện chăm sóc thứ cấp của Vương quốc Anh - những bệnh viện cung cấp các đơn vị chăm sóc đặc biệt và các dịch vụ khẩn cấp khác - và tám phần trăm các cơ sở y tế nói chung ở Anh đã bị tê liệt bởi cuộc tấn công ransomware, dẫn đến việc hủy bỏ hơn XNUMX cuộc hẹn và cuối cùng là chi phí NHS hơn XNUMX triệu đô la, khiến nó trở thành vụ bùng phát ransomware lớn nhất được biết đến trong lịch sử. Lazarus Group cũng chịu trách nhiệm trực tiếp cho các cuộc tấn công mạng nổi tiếng năm XNUMX của Sony Pictures Entertainment (SPE).

Ngày nay cũng được chỉ định là hai nhóm phụ của Lazarus Group, nhóm đầu tiên được nhiều công ty bảo mật tư nhân gọi là Bluenoroff. Bluenoroff được chính phủ Triều Tiên thành lập để kiếm doanh thu bất hợp pháp nhằm đáp trả các lệnh trừng phạt toàn cầu gia tăng. Bluenoroff tiến hành các hoạt động mạng độc hại dưới hình thức tấn công mạng chống lại các tổ chức tài chính nước ngoài thay mặt cho chế độ Triều Tiên để tạo ra doanh thu, một phần là cho các chương trình vũ khí hạt nhân và tên lửa đạn đạo ngày càng tăng của nước này. Các công ty an ninh mạng lần đầu tiên chú ý đến nhóm này vào đầu năm 2014, khi các nỗ lực không gian mạng của Triều Tiên bắt đầu tập trung vào thu lợi tài chính ngoài việc thu thập thông tin quân sự, mạng lưới gây mất ổn định hoặc đe dọa đối thủ. Theo báo cáo của ngành công nghiệp và báo chí, vào năm 2018, Bluenoroff đã cố gắng ăn cắp hơn 1.1 tỷ đô la từ các tổ chức tài chính và, theo báo chí, đã thực hiện thành công các hoạt động như vậy chống lại các ngân hàng ở Bangladesh, Ấn Độ, Mexico, Pakistan, Philippines, Hàn Quốc. , Đài Loan, Thổ Nhĩ Kỳ, Chile và Việt Nam.

Theo các công ty an ninh mạng, thông thường thông qua lừa đảo và xâm nhập cửa sau, Bluenoroff đã tiến hành các hoạt động thành công nhắm vào hơn 16 tổ chức trên 11 quốc gia, bao gồm hệ thống nhắn tin SWIFT, các tổ chức tài chính và sàn giao dịch tiền điện tử. Trong một trong những hoạt động mạng khét tiếng nhất của Bluenoroff, nhóm tấn công đã hợp tác với Lazarus Group để đánh cắp khoảng 80 triệu đô la từ tài khoản Dự trữ Liên bang New York của Ngân hàng Trung ương Bangladesh. Bằng cách tận dụng phần mềm độc hại tương tự như đã thấy trong cuộc tấn công mạng SPE, Bluenoroff và Lazarus Group đã thực hiện hơn 36 yêu cầu chuyển tiền lớn bằng cách sử dụng thông tin đăng nhập SWIFT bị đánh cắp trong nỗ lực đánh cắp tổng cộng 851 triệu đô la trước khi có lỗi đánh máy cảnh báo nhân viên để ngăn chặn khoản tiền bổ sung từ bị đánh cắp.

Nhóm thứ hai của Lazarus Group được chỉ định ngày hôm nay là Andariel. Nó tập trung vào việc tiến hành các hoạt động mạng độc hại đối với các doanh nghiệp nước ngoài, cơ quan chính phủ, cơ sở hạ tầng dịch vụ tài chính, các tập đoàn tư nhân và doanh nghiệp, cũng như ngành công nghiệp quốc phòng. Các công ty an ninh mạng lần đầu tiên chú ý đến Andariel vào khoảng năm 2015 và báo cáo rằng Andariel liên tục thực hiện tội phạm mạng để tạo doanh thu và nhắm vào chính phủ và cơ sở hạ tầng của Hàn Quốc nhằm thu thập thông tin và gây rối loạn.

Cụ thể, Andariel bị các hãng an ninh mạng quan sát âm mưu đánh cắp thông tin thẻ ngân hàng bằng cách đột nhập vào máy ATM để rút tiền mặt hoặc đánh cắp thông tin khách hàng để sau đó bán ra thị trường chợ đen. Andariel cũng chịu trách nhiệm phát triển và tạo ra phần mềm độc hại duy nhất để xâm nhập vào các trang web đánh bài và poker trực tuyến để ăn cắp tiền mặt.
Theo báo chí và ngành công nghiệp đưa tin, ngoài các nỗ lực phạm tội của mình, Andariel tiếp tục tiến hành các hoạt động mạng độc hại chống lại các nhân viên chính phủ Hàn Quốc và quân đội Hàn Quốc trong nỗ lực thu thập thông tin tình báo. Một trường hợp được phát hiện vào tháng 2016 năm XNUMX là một vụ xâm nhập mạng vào máy tính cá nhân của Bộ trưởng Quốc phòng Hàn Quốc tại thời điểm đó và mạng nội bộ của Bộ Quốc phòng để lấy thông tin tình báo về các hoạt động quân sự.

Ngoài các hoạt động mạng độc hại trên các tổ chức tài chính thông thường, chính phủ nước ngoài, các công ty lớn và cơ sở hạ tầng, các hoạt động mạng của Triều Tiên cũng nhắm mục tiêu đến các Nhà cung cấp tài sản ảo và các sàn giao dịch tiền điện tử để có thể hỗ trợ làm xáo trộn các dòng doanh thu và các hành vi trộm cắp trên mạng cũng có khả năng tài trợ cho Triều Tiên WMD và các chương trình tên lửa đạn đạo. Theo báo cáo của ngành công nghiệp và báo chí, ba nhóm hack do nhà nước bảo trợ này có khả năng đã đánh cắp khoảng 571 triệu đô la tiền điện tử chỉ riêng từ năm sàn giao dịch ở châu Á từ tháng 2017 năm 2018 đến tháng XNUMX năm XNUMX.

Nỗ lực của Chính phủ Hoa Kỳ nhằm chống lại các mối đe dọa mạng của Triều Tiên

Trong những tháng gần đây, Cơ quan An ninh mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa (CISA) và Bộ Tư lệnh Không gian mạng Hoa Kỳ (USCYBERCOM) đã làm việc song song để tiết lộ các mẫu phần mềm độc hại cho ngành công nghiệp an ninh mạng tư nhân, một số mẫu sau đó được cho là do các tác nhân mạng của Triều Tiên , là một phần của nỗ lực không ngừng nhằm bảo vệ hệ thống tài chính Hoa Kỳ và các cơ sở hạ tầng quan trọng khác cũng như có tác động lớn nhất đến việc cải thiện an ninh toàn cầu. Điều này, cùng với hành động OFAC ngày nay, là một ví dụ về cách tiếp cận của toàn chính phủ trong việc phòng thủ và bảo vệ trước mối đe dọa mạng ngày càng tăng của Triều Tiên và là một bước nữa trong tầm nhìn cam kết bền bỉ do USCYBERCOM đề ra.

Kết quả của hành động hôm nay, tất cả tài sản và lợi ích đối với tài sản của các thực thể này và của bất kỳ thực thể nào thuộc sở hữu trực tiếp hoặc gián tiếp, từ 50% trở lên bởi các thực thể được chỉ định, ở Hoa Kỳ hoặc đang sở hữu hoặc kiểm soát của người Hoa Kỳ bị chặn và phải được báo cáo cho OFAC. Các quy định của OFAC thường nghiêm cấm tất cả các giao dịch của người Hoa Kỳ hoặc trong (hoặc quá cảnh) Hoa Kỳ liên quan đến bất kỳ tài sản hoặc lợi ích nào trong tài sản của những người bị phong tỏa hoặc được chỉ định.

Ngoài ra, những người tham gia vào các giao dịch nhất định với các tổ chức được chỉ định ngày hôm nay có thể tự mình bị chỉ định. Hơn nữa, bất kỳ tổ chức tài chính nước ngoài nào cố ý tạo điều kiện cho một giao dịch quan trọng hoặc cung cấp các dịch vụ tài chính quan trọng cho bất kỳ tổ chức nào được chỉ định ngày hôm nay đều có thể phải chịu các biện pháp trừng phạt tài khoản đại lý của Hoa Kỳ hoặc các khoản phải trả.