Nul
Volgens een nieuw rapport dat vandaag gepubliceerd wordt door ONS cyber-beveiligingsbedrijf FireEye, er is een duidelijk onderscheid tussen Noord-Korea ‘ s hacking-eenheden met twee groepen gespecialiseerd in politieke cyber-spionage, en een derde alleen gericht in cyber-heists bij banken en financiële instellingen.
In de afgelopen vier jaar, sinds de Sony hack van 2014, wanneer de wereld gerealiseerd Noord-Korea was een serieuze speler op de cyber-spionage-scene, alle drie de groepen zijn voortdurend gedekt door de media onder de overkoepelende term van Lazarus Groep.
Maar in een rapport dat vandaag werd vrijgegeven, FireEye experts geloven er moet een duidelijk onderscheid tussen de drie groepen, en in het bijzonder tussen degenen gericht op het cyber-spionage (TEMP.Kluizenaar en Lazarus Groep), en de één gericht op de financiële criminaliteit (APT38).
Afbeelding: FireEye
De activiteiten van de eerste twee zijn bijgehouden en geanalyseerd voor een lange tijd, en zijn het onderwerp van tientallen rapporten van zowel de particuliere beveiliging, de industrie en de overheid, maar er is weinig bekend over de derde.
Veel van de derde groep financieel gemotiveerde hacking-tools hebben vaak opgenomen in Lazarus Groep rapporten, waar ze stak als een zere duim toen keek samen met malware ontworpen voor cyber-spionage.
Maar wanneer u isoleren van al deze financieel-gemotiveerd tools en het opsporen van de incidenten waar ze hebt gespot, krijg je een duidelijk beeld van volledig gescheiden hacken van de groep dat lijkt te werken op zijn eigen, op een aparte agenda van de meeste van de Lazarus-Groep.
Deze groep, volgens FireEye, werkt niet door een quick roofoverval strategie specifiek voor de dag-tot-dag cyber-crime groepen, maar met het geduld van een natie-staat dreiging acteur die de tijd en de tools om te wachten voor de perfecte tijd om te trekken uit een aanval.
Afbeelding: FireEye
FireEye gezegd dat wanneer je al deze tools en incidenten uit het verleden met elkaar verbonden zijn, opgespoord APT38 de eerste tekenen van activiteit terug te gaan naar 2014, ongeveer dezelfde tijd dat alle Lazarus Groep-gekoppeld afdelingen begonnen met de exploitatie.
Maar het bedrijf niet de schuld van de Sony hack en de release van “Het Gesprek” film release op de groep is duidelijk stijgen. Volgens FireEye de experts, het was de VN economische sancties geheven tegen Noord-Korea na een suite van nucleaire tests uitgevoerd in 2013.
Experts geloven –en FireEye is niet het enige, met andere bronnen melden hetzelfde-dat in het gezicht van de slinkende overheidsinkomsten, Noord-Korea, met haar militaire status hacken divisies om hulp in te brengen in de fondsen van externe bronnen via de onorthodoxe methoden.
Deze methoden gebruikt op het hacken van de banken, de financiële instellingen, en cryptocurrency uitwisselingen. Doel geografie maakte niet uit, en geen gebied veilig was APT38 hackers, volgens FireEye, die gemeld kleinere hacks over de hele wereld, in landen zoals Polen, Maleisië, Vietnam, en anderen.
Afbeelding: FireEye
FireEye “APT38: Vn-usual Suspects” rapport bevat een tijdlijn van verleden hacks en belangrijke mijlpalen in de evolutie.
Februari 2014 – de Start van de eerste bekende bewerking door APT38December 2015 – Poging tot overval op TPBankJanuary 2016 – APT38 is bezig met compromissen op meerdere internationale banken concurrentlyFebruary 2016 – Heist in Bangladesh Bank (inbraak via SWIFT inter-bancaire systeem)Oktober 2016 – Gerapporteerde begin van APT38 watering hole georkestreerde aanvallen op de overheid en de media sitesMarch 2017 – SWIFT bant alle Noord-koreaanse banken onder de VN-sancties van accessSeptember 2017 – Diverse Chinese banken beperken de financiële activiteiten van de Noord-koreaanse individuen en entitiesOctober 2017 – Heist in het Verre Oosten Internationale Bank in Taiwan (ATM cash-out regeling)januari 2018 – Poging tot overval op Bancomext in Mexico Mei 2018 – Heist in Banco de Chili
Al met al, FireEye is van mening APT38 probeerde te stelen van meer dan $1,1 miljard, maar met ongeveer $100 miljoen, gebaseerd op het conservatieve schattingen.
De beveiliging van bedrijven zegt dat de bank cyber-heists, succesvol of niet, het bleek een complexe werkwijze, die gevolgd patronen vorige gezien met de natie-staat aanvallers, en niet met gewone cyber-criminelen.
De belangrijkste giveaway is hun geduld en de bereidheid om te wachten tot maanden, zo niet jaren, te trekken uit een hack, gedurende welke tijd zij voerden een uitgebreide verkenning en de bewaking van de besmette doel of zij gemaakt target-specifieke tools.
“APT38 operators veel moeite in het begrijpen van hun omgeving en zorgen voor een succesvolle implementatie van tools tegen gerichte systemen,” FireEye deskundigen schreven in hun rapport. “De groep heeft aangetoond dat een verlangen om toegang te houden tot een slachtoffer omgeving voor zo lang als nodig is om te begrijpen het netwerk lay-out, de nodige toestemmingen en het systeem technologieën om zijn doelen te bereiken.”
“APT38 ook neemt maatregelen om te zorgen dat ze onopgemerkt blijven, terwijl ze zijn bezig met hun interne verkenning,” ze toegevoegd. “Gemiddeld hebben we waargenomen APT38 blijven binnen een slachtoffer netwerk ongeveer 155 dagen, de langste tijd in een gecompromitteerd systeem geloofd te worden 678 dagen (bijna twee jaar).”
Afbeelding: FireEye
Maar de groep bleef ook uit, want het deed wat weinig mensen financieel gemotiveerde groepen heeft. Het bewijs vernietigd bij gevaar om gepakt te worden, of na een hack, als een mogendheden tactiek.
In gevallen waar de groep geloofde ze links te veel forensische gegevens achter, ze nam niet de moeite het reinigen van de logs van elke computer in een deel, maar vaak ingezet ransomware of schijf wissen malware in plaats daarvan.
Sommigen beweren dat dit werd gedaan met het doel om onderzoekers op het verkeerde spoor, dat is een geldig argument, vooral omdat het bijna werkte in sommige gevallen.
Bijvoorbeeld, APT38 ingezet de Hermes ransomware op het netwerk van het Verre Oosten International Bank (FEIB) in Taiwan kort nadat ze trok grote sommen geld van de bank, Geldautomaten, in een poging om HET doorschakelen teams aan de terugwinning van de gegevens van de inspanningen in plaats van aandacht te besteden aan ATM monitoring systemen.
APT38 ook ingezet de KillDisk schijf wissen malware op het netwerk van Bancomext na een mislukte poging van het stelen van meer dan $110 miljoen van de bank de rekeningen, en ook op het netwerk van de Banco de Chili na APT38 met succes stal 10 miljoen dollar van haar systemen.
Aanvankelijk, deze hacks is gemeld dat HET systeem fouten, maar door de gezamenlijke inspanningen van experts over de hele wereld [1, 2, 3] en dankzij de aanwijzingen in de malware de bron, experts gekoppeld deze hacks naar Noord-Korea ‘ s hacking eenheden.
Maar terwijl het FireEye-rapport is de eerste stap in het scheiden van Noord-Korea ‘ s hacking eenheden van een ander, het zal een harde ding om af te trekken, en de belangrijkste reden daarvoor is dat alle Noord-koreaanse hack infrastructuur lijkt sterk overlappen met agenten soms hergebruik van malware en online infrastructuur voor allerlei activiteiten.
Dit probleem is duidelijker dan vorige maand toen het AMERIKAANSE Ministerie van Justitie aangeklaagd voor een Noord-koreaanse hacker met de naam Park Jin Hyok met elke Noord-koreaanse hack onder de zon, variërend van beide cyber-spionage-operaties (Sony Pictures hack, WannaCry, Lockheed Martin hack) financieel-gemotiveerd hacks (Bangladesh Bank heist).
Maar terwijl bedrijven als FireEye blijven trekken aan het touw van de Noord-koreaanse hack inspanningen in een poging om wat licht te werpen op het verleden aanvallen, het regime in Pyongyang lijkt niet geïnteresseerd te zijn in reining in APT38, ondanks enkele recente positieve ontwikkelingen in diplomatieke gesprekken.
“Wij geloven APT38 de activiteiten zich zullen voortzetten in de toekomst,” FireEye zei. “Met name het aantal SWIFT heists dat is uiteindelijk uitgelopen in de afgelopen jaren in combinatie met de groeiende bewustwording voor de veiligheid rond de financiële messaging systeem kan rijden APT38 te gebruiken een nieuwe tactiek om geld te halen, vooral als Noord-Korea de toegang tot de munt verder verslechtert.”
Vorige en aanverwante dekking:
ONS zinnen naar de gevangenis haar eerste ATM jackpotsTiener Apple-hacker vermijdt de gevangenis voor ‘hacky hack hack’ aanvalSydney man gezichten gevangenis over 3D-printed gunsCNET: Waymo rechtszaak tegen Uber bedoelde federale aanklagersTechRepublic: Noord-Korea is waarschijnlijk underwriting cyberaanvallen door de mijnbouw Monero
Verwante Onderwerpen:
Banking
Beveiliging TV
Data Management
CXO
Datacenters
0