Nul
Park Jin Hyok
Tidligere i dag, at USA Department of Justice formelt anklaget en nordkoreansk programmør for nogle af de største cyber-angreb, der i de seneste år.
Ifølge en 179-side DOJ anklageskriftet, USA mener, at Park Jin Hyok, en 34-årig nordkoreansk, er en af de mange personer, som står bag en lang række af malware-angreb og invasion, såsom:
Den WannaCry ransomware udbrud af 2017;Forsøg på hacking OS forsvarsentreprenør Lockheed Martin i 2016, Den 2016 Bangladesh Centralbank cyber-heist;brud på Sony Pictures Entertainment i 2014;Brud på OS biograf-kæder AMC Teatre og Gigantisk Skærm i 2014;En lang række hacks af sydkoreanske medier organisationer, banker, og at den militære enheder på tværs af flere år, og Hacks af banker hele verden fra 2015 gennem 2018.
Det amerikanske JUSTITSMINISTERIUM siger, at Parken var et aktivt medlem af en regering sponsoreret hacking team kendt i den private cyber-sikkerhed sektor som Lazarus Gruppe.
Men i virkeligheden, embedsmænd siger, han var også en offentligt ansat, der arbejder for et offentligt ejet selskab ved navn Chosun Expo Joint Venture (Chosun Expo i det følgende).
Efterforskere siger, at Chosun Expo blev grundlagt som et joint venture mellem Syd og Nord koreanske regeringer, og var beregnet til at være en e-handel og lotteri hjemmeside.
Sydkoreanske embedsmænd trak sig ud af aftalen, men den nordkoreanske regering fortsatte med at styre selskabet gennem en række forskellige personer, der forgrener sig ud i forskellige online-tjenester, såsom online gaming og gambling. Selskabet havde kontorer i Nord-Korea og Kina, og Parken blev sendt til at arbejde i mange år i selskabets Kinesiske kontor i byen Dalian.
Der, efterforskere sagde, at han arbejdede under afsnit af “udvikler” og “online spil udvikler,” notering evnen til at kode i Java, JSP, PHP, Flash, men også Visual C++, det sprog, som de fleste Lazarus Gruppe malware blev skrevet i.
AMERIKANSKE embedsmænd siger, at selskabet kun var en front-og penge-making enhed for Lab 110, en del af den NORDKOREANSKE militære efterretningsvæsen. En rapport udgivet af en organisation af nordkoreanske dissidenter, der bor i Sydkorea, der er nævnt i anklageskriftet, der er identificeret Chosun Expo, som giver “cover for nordkoreanske embedsmænd.”
Efterforskere siger, Park tilbage til Nordkorea i slutningen af 2014, kort før den perlerække af Lazarus Gruppe hacks begyndte.
DOJ anklageskriftet, en af de største af sin art i forhold til antallet af sider, viser en bred vifte af e-mail-adresser, der bruges til at registrere domænenavne og købe hosting-tjenester, der anvendes i alle de hacks.
Det omfatter også IP-adresser bruges til at få adgang malware kommando og kontrol (C&C) – servere, sociale medier konti, og hackede servere, der er vært for malware, der anvendes i angreb.
Embedsmænd siger, at de identificerede e-mail og sociale medier konti Park, der anvendes, mens du arbejder på Chosun Expo, og e-mail og sociale medier konti, der bruges af Lazarus-Gruppen i løbet af sine fire år hacking amok.
Efterforskere især påpege en falsk personlighed, som hedder “Kim Hyon Woo”, der synes at have links, enten ved IP-adresse eller e-mail-adresser til Lazarus hacking operationer og deres ofre.
Men embedsmænd siger, at på trods af parkens bedste for ikke at bruge sit virkelige verden persona, e-mails, og IP-adresser for at få adgang til Lazarus Gruppe infrastruktur og hackede servere, han til sidst gled op, fordi han har efterladt et spor af beviser, der forbinder hans virkelige verden-konti til den falske mellemmand persona.
“Forbindelser mellem PARK’ s Chosun Expo Konti og “Kim Hyon Woo’ regnskab omfatter fælles adgang til en krypteret .rar-arkiv, gemme ‘Kim Hyon Woo’ konti i Chosun Expo Konti’ adressebogen, ved hjælp af kvitteringer mellem de to sæt af konti, ved hjælp af almindeligt anvendte navne og monikere, og få adgang til konti fra den fælles IP-adresser, blandt andre.”
Embedsmænd tror, at de online-konti, der er forbundet med “Kim Hyon Woo” persona blev brugt af flere operatører, og de er meget overbevist om, at Parken var en af dem.
Desuden, på grund af sin programmering baggrund, at de også mener, at han var involveret i skabelsen af Lazarus Gruppe malware.
Som en, DOJ tjenestemænd er ikke sikker. Men de gjorde opmærksom på, at der er et utal af forbindelser mellem flere malware stammer Lazarus Gruppe aktører har brugt hele år.
DOJ anklageskriftet bryder flere af disse forbindelser i deres anklage. Et eksempel:
“Både en WannaCry prøve og Trojanske.Alphanc, der anvendes IP-adresse 84.92.36.96 som en kommando-og-kontrol IP-adresse. At IP-adressen var også en kommando-og kontrol-adresse for en stikprøve af malware fremstillet af FBI, der falder en malware nyttelast på en lignende måde til, hvordan andre malware, der private cyber security virksomheder har tilskrives Lazarus Gruppe, samt malware, at de fag, der anvendes til at målrette Lockheed Martin. Den 29 februar og 1 Marts 2016, en nordkoreansk IP-Adresse forbundet til den pågældende IP-adresse. […] Specielt, dette North Korean IP-adresse blev brugt til at få adgang til den inficerede Web-Server, januar 8, i 2016. januar 22 og 27, 2016, er det også forbundet til en kompromitteret computer i North Carolina, der var inficeret med malware, der er knyttet til angreb på SPE; og, Marts 10, 2016, det blev brugt til at få adgang til en Facebook profil, der tidligere havde været adgang fra Nord koreansk IP-Adresse (#2 den 13 December 2015.”
Der er flere af disse forbindelser er beskrevet i anklageskriftet, og de bygge en kompleks mesh, som forbinder alle de Lazarus Gruppe infrastruktur, og derefter fører til den falske Kim Hyon Woo persona, og derefter til Chosun Expo konti, der er kendt for at have været tidligere, der drives af Parken.
Og på toppen af dette, der er også spørgsmålet om genbrug af kode, der ser ud til at være sket meget mellem de forskellige stammer af Lazarus Gruppe malware.
De mest almindelige uddrag af genbruges kode er, hvad efterforskere kaldes “FakeTLS” data-tabel, er en del af kode, som findes i flere Lazarus malware stammer, såsom WannaCry, MACKTRUCK (SPE hack), NESTEGG (Filippinske Bank hack), Contopee (Filippinske Centralbank og de Sydøstasiatiske Bank hacks), og andre.
Den FakeTLS data tabellen, at FBI og andre undersøgere fandt ser ud til at være relateret til, hvad cyber-sikkerhed i virksomheder, der tidligere har identificeret som “falske TLS-protokollen. Dette er en brugerdefineret netværk protokol, der er designet af Lazarus Gruppe hackere, der er beregnet til at efterligne en TLS-forbindelse, men faktisk bruger sin egen tilpassede kryptering ordningen til at skjule data stjålet fra ofre, mens de er i transit.
Parken er anklaget for en optælling af sammensværgelse for at begå computer fraud and abuse, der bærer en maksimumsstraf på fem år i fængsel, og en optælling af sammensværgelse for at begå wire svig, der indebærer en maksimum straf på 20 års fængsel. AMERIKANSKE embedsmænd siger, at de stadig arbejder på at opspore resten af Parken ‘ s partnere i kriminalitet.
Det AMERIKANSKE Finansministerium har også indført sanktioner over for Park og Chosun Expo.
“Som et resultat af dagens aktion, enhver ejendom eller interesser, der i egenskab af den, der er udpeget personer, der er i besiddelse af eller kontrol af AMERIKANSKE personer, der er eller inden for de Forenede Stater skal være blokeret, og AMERIKANSKE personer, der generelt er forbudt fra at beskæftige sig med bestemte personer,” US Department of the Treasury ‘ s Office of Foreign Assets Control (OFAC) sagde i dag.
Det BRITISKE National Crime Agency også medvirket i undersøgelsen.
Relaterede Emner:
Regeringen
Sikkerhed-TV
Data Management
CXO
Datacentre
0