Nul
Park Jin Hyok
Eerder vandaag, het AMERIKAANSE Ministerie van Justitie formeel belast een Noord-koreaanse programmeur voor een aantal van de grootste cyber-aanvallen in de afgelopen jaren.
Volgens een 179-pagina ministerie van justitie een aanklacht, het ONS van mening dat Park Jin Hyok, een 34-jarige Noord-korea, is een van de vele mensen achter een lange reeks van malware-aanvallen en aanvallen, zoals:
De WannaCry ransomware uitbraak van 2017;Pogingen tot het hacken van ONS verdediging aannemer Lockheed Martin in 2016;in 2016, Bangladesh Centrale Bank cyber-heist;De schending van Sony Pictures Entertainment in 2014;Inbreuken op ONS filmtheater ketens AMC Theaters en Mammoth Scherm in 2014;Een lange reeks hacks van de Zuid-koreaanse media organisaties, banken en militaire entiteiten over verschillende jaren, en;Hacks van banken over de hele wereld vanaf 2015 tot en met 2018.
Het amerikaanse ministerie van justitie zegt dat Park was een actief lid van een door de overheid gesponsord hacking team bekend in de privé-cyber-security-sector als de Lazarus-Groep.
Maar in werkelijkheid, ambtenaren zeggen, hij was ook een regering werknemer die werkzaam is voor een overheidsbedrijf met de naam Chosun Expo Joint Venture (Chosun Expo hierna).
Onderzoekers zeggen dat Chosun Expo werd opgericht als een joint venture tussen de Zuid en de Noord-koreaanse regeringen, en was bedoeld om een e-commerce en loterij website.
Zuid-koreaanse ambtenaren getrokken uit van de deal, maar de Noord-koreaanse regering bleef het managen van een bedrijf door middel van verschillende individuen, vertakt zich in verschillende online diensten, zoals online-gaming en gokken. Had het bedrijf kantoren in Noord-Korea en China, en het Park werd gestuurd om te werken voor vele jaren in de onderneming van de Chinese kantoor in de stad Dalian.
Er onderzoekers zei dat hij werkte onder de titels van de “developer” en “online game-ontwikkelaar,” lijst de mogelijkheid om code in Java, JSP, PHP, Flash, maar ook Visual C++, de taal waarin de meeste Lazarus Groep malware is geschreven in.
AMERIKAANSE functionarissen zeggen dat de onderneming alleen een voor-en geld-het maken van entiteit voor Lab-110, een onderdeel van het DVK van de militaire inlichtingendienst van de omgevingslucht. Een rapport gepubliceerd door een organisatie van de Noord-koreaanse dissidenten woon in Zuid-Korea, geciteerd in de aanklacht, geïdentificeerd Chosun Expo als “cover voor de Noord-koreaanse regering ambtenaren.”
Onderzoekers zeggen Park teruggestuurd naar Noord-Korea eind 2014, kort voordat de string van Lazarus Groep hacks begon.
Het amerikaanse ministerie van justitie een aanklacht, een van de grootste van zijn soort in relatie tot het totaal aantal pagina ‘ s vindt u een breed scala van e-mail adressen die gebruikt worden om domeinnamen te registreren en te kopen van hosting-diensten gebruikt in alle hacks.
Het bevat ook IP-adressen gebruikt om toegang te krijgen tot malware command and control (C&C) servers, social media accounts, en gehackte servers die gehost malware gebruikt bij de aanslagen.
De ambtenaren zeggen dat ze geïdentificeerd e-mail en social media accounts Park gebruikt tijdens het werken in Chosun Expo, en e-mail en social media accounts die worden gebruikt door Lazarus Groep tijdens de vier jaar het hacken van de spree.
De onderzoekers wijzen vooral uit een neppersoon met de naam “Kim Hyon Woo” dat verschijnt links te hebben, hetzij door het IP-adres of e-mailadressen te Lazarus hacken activiteiten en hun slachtoffers.
Maar de ambtenaren zeggen dat ondanks het Park is best doen om geen gebruik van zijn in de echte wereld persona, e-mailadressen en IP-adressen voor het openen van Lazarus Groep infrastructuur en gehackte servers, hij uiteindelijk gleed omhoog, want hij liet een spoor van bewijs te koppelen zijn van de echte wereld accounts om de nep-tussenpersoon persona.
“De verbindingen tussen PARK Chosun Expo Accounts en ‘Kim Hyon Woo’ rekeningen zijn inclusief gedeelde toegang krijgen tot een versleuteld .rar archief, het opslaan van de ‘Kim Hyon Woo’ accounts in Chosun Expo Accounts’ adresboek, met behulp van leesbevestigingen tussen de twee sets van accounts, het gebruik van gemeenschappelijke namen en monikers, en de toegang tot de rekeningen van de gemeenschappelijke IP-adressen, onder anderen.”
De ambtenaren van mening dat de online-accounts die zijn gekoppeld met de “Kim Hyon Woo’ persona werden gebruikt door meerdere operatoren, en ze zijn ervan overtuigd dat Park was een van hen.
Bovendien, omdat het van zijn programmering achtergrond, ze geloven ook was hij betrokken bij de oprichting van Lazarus Groep malware.
Die ene, ministerie van justitie-ambtenaren niet zeker. Maar dat deden ze wijzen erop dat er tal van verbindingen tussen de verschillende malware stammen Lazarus Groep operators gebruikt hebben over de jaren heen.
Het amerikaanse ministerie van justitie een aanklacht breekt een aantal van deze verbindingen in hun aanklacht. Een voorbeeld:
“Zowel een WannaCry monster en Trojan.Alphanc gebruikt IP-adres 84.92.36.96 als een command-and-control IP-adres. Dat IP-adres is ook een command-and-control-adres voor een voorbeeld van malware die wordt verkregen door de FBI dat de druppels een malware lading in een soortgelijke manier als hoe andere malware die eigen cyber security bedrijven hebben toegeschreven aan de Lazarus-Groep en de malware die de proefpersonen gebruikt voor het doel Lockheed Martin. Op 29 februari en 1 Maart 2016, een Noord-koreaanse IP-Adres verbonden met dat IP-adres. […] Bijzonder, deze het Noorden koreaan IP-adres is gebruikt om toegang te krijgen tot de Besmette Web Server, op 8 januari 2016; op 22 januari en 27, 2016, het is ook aangesloten op een besmette computer in Noord-Carolina, dat was besmet met malware gekoppeld aan de aanval op SPE; en, op Maart 10, 2016, het werd gebruikt om een Facebook-profiel dat eerder had benaderd vanuit het Noorden koreaan IP-Adres #2 op 13 December 2015.”
Er zijn meer van deze verbindingen gedetailleerde in de aanklacht, en ze bouwen een complexe mesh dat verbindt alle Lazarus Groep infrastructuur, leidt dan tot de nep-Kim Hyon Woo persona, en dan naar de Chosun Expo accounts bekend te zijn met eerder gebruik door het Park.
En op de top van dit, is er ook de kwestie van de code opnieuw te gebruiken, die lijkt te zijn veel gebeurd tussen de verschillende stammen van Lazarus Groep malware.
De meest voorkomende fragment van hergebruikte code is wat de onderzoekers noemen de “FakeTLS” data table, een deel van de code is te vinden in meerdere Lazarus malware stammen, zoals WannaCry, MACKTRUCK (SPE-hack), NESTEGG (Filippijnse Bank hacken), Contopee (Filippijnse Bank en de Zuidoost-Aziatische Bank hacks), en anderen.
De FakeTLS gegevens tabel dat de FBI en andere onderzoekers gevonden lijkt te worden in verband met wat cyber-security bedrijven hebben eerder geïdentificeerd als de “nep-TLS-protocol. Dit is een aangepaste networking protocol ontworpen door de Lazarus Groep hackers die is bedoeld om na te bootsen een TLS-verbinding, maar eigenlijk maakt gebruik van zijn eigen aangepaste codering regeling voor het verbergen van gegevens gestolen van de slachtoffers die tijdens de verzending.
Het Park is belast met een telling van samenzwering tot het plegen van de computer van fraude en misbruik, die draagt een straf van maximaal vijf jaar in de gevangenis, en een telling van samenzwering om de draad van fraude, die draagt een maximale straf van 20 jaar in de gevangenis. AMERIKAANSE functionarissen zeggen dat ze nog steeds werken aan het opsporen van de rest van het Park partners in crime.
Het AMERIKAANSE Ministerie van financiën heeft ook sancties opgelegd Park en Chosun Expo.
“Als gevolg van een actie van vandaag, goederen of belangen in eigendom van de aangewezen personen in het bezit van of de controle van U.S. personen of binnen de Verenigde Staten moet worden geblokkeerd, en de AMERIKAANSE personen in het algemeen verboden zijn van het omgaan met de aangewezen personen, de US Department of the Treasury, Office of Foreign Assets Control (OFAC) zei vandaag.
De UK National Crime Agency ook geholpen bij het onderzoek.
Verwante Onderwerpen:
Overheid
Beveiliging TV
Data Management
CXO
Datacenters
0