Noll
Enligt en ny rapport som publiceras idag av OSS på it-säkerhetsföretaget FireEye, det finns en klar och tydlig åtskillnad mellan Nordkorea dataintrång enheter-med två grupper som är specialiserade i det politiska cyber-spionage, och en tredje som endast är inriktad på it-heists på banker och finansiella institutioner.
Under de senaste fyra åren, ända sedan Sony hack av 2014, när världen insåg att Nordkorea var en seriös aktör på it-spionage scenen, alla tre grupperna har varit oavbrutet omfattas av nyheter i media under samlingsnamnet av Lazarus Grupp.
Men i en rapport som släpptes i dag, FireEye experter anser att det bör göras en tydlig åtskillnad mellan de tre grupperna, och särskilt mellan de som fokuserade på it-spionage (TEMP.Eremit och Lasarus Grupp), och en inriktad på ekonomisk brottslighet (APT38).

Bild: FireEye
Verksamheten i de två första har varit följas upp och analyseras för en lång tid, och har varit föremål för ett tiotal rapporter från både den privata säkerhetsbranschen och myndigheter, men lite är känt om den tredje.
Många av den tredje gruppen är ekonomiskt motiverade hacking verktyg har ofta varit ingår i Lazarus Koncernens rapporter, där de stack ut som en öm tumme när man såg på tillsammans med skadlig kod avsedd för cyber-spionage.
Men när du har hittat alla dessa ekonomiskt motiverade verktyg och spåra händelser där de har varit spotted, du får en tydlig bild av en helt separat hacka grupp som verkar för att driva på sin egen, på ett separat agenda från de flesta av Lazarus Koncernens verksamhet.
Denna grupp, enligt FireEye, inte fungerar med en snabb smash-and-grab-strategi som är specifika för dag-till-dag cyber-kriminella grupper, men med tålamod och en nation-state hot aktör som har tid och verktyg för att vänta på den perfekta tiden att dra igång en attack.
Bild: FireEye
FireEye sade att när det sätter alla dessa verktyg och tidigare händelser tillsammans, det spårade APT38 första tecken på aktivitet som går tillbaka till år 2014, ungefär samtidigt som alla Lazarus-Gruppen-i samband divisioner i gång med sin verksamhet.
Men företaget inte skylla på Sony hacka och utgivningen av “Intervjun” – film släpp på koncernens uppenbart att stiga. Enligt FireEye experter, det var FN: s ekonomiska sanktioner tas ut mot Nordkorea efter en svit av nukleära tester utförs under 2013.
Experter tror –och FireEye är inte den enda, med andra källor rapporterar samma sak-att inför minskar statens intäkter, Nordkorea vände sig till sin militära staten hacka divisioner för att hjälpa med att föra in medel från externa källor genom okonventionella metoder.
Dessa metoder har förlitat sig på att hacka banker, finansiella institutioner, och cryptocurrency utbyte. Målet geografi gjorde inget, och inget område var säker från APT38 hackare, enligt FireEye, som rapporterade mindre hackar hela världen, i länder som Polen, Malaysia, Vietnam, och andra.
Bild: FireEye
FireEye “APT38: Fn-usual Suspects” rapport redovisar en tidslinje av tidigare hacka och viktiga milstolpar i koncernens utveckling.
Februari 2014 – Start av första kända operationen genom att APT38December 2015 – Försök heist på TPBankJanuary 2016 – APT38 är engagerade i kompromisser på flera internationella banker concurrentlyFebruary 2016 – Heist i Bangladesh Bank (intrång via SWIFT inter-bank-system)Oktober 2016 – Rapporterade början av APT38 vattenhål attacker iscensatt på regeringen och media sitesMarch 2017 – SWIFT förbjuder alla nordkoreanska banker under FN: s sanktioner från accessSeptember 2017 – Flera Kinesiska banker begränsa finansiella aktiviteter av nordkoreanska individer och entitiesOctober 2017 – Heist på Far Eastern International Bank i Taiwan (ATM cash-out system)januari 2018 – Försök heist på Bancomext i Mexiko Maj 2018 – Heist på Banco de Chile
Allt som allt, FireEye anser APT38 försökte stjäla över $1,1 miljarder kronor, men gjorde av med ungefär $100 miljoner euro, baserat på företagets konservativa uppskattningar.
Säkerhet-företag som säger att alla bankens it-heists, framgångsrik eller inte, visade på en komplex modus operandi, som följde tidigare mönster ses med nationalstaten angripare, och inte med vanlig it-brottslingar.
De viktigaste giveaway är deras tålamod och vilja för att vänta i flera månader, om inte år, att dra ut en hacka, under vilken tid de genomfört en omfattande spaning och övervakning av målet äventyras eller de skapade mål-specifika verktyg.
“APT38 aktörer gjort avsevärda ansträngningar för att förstå sin omgivning och att garantera en lyckad driftsättning av verktyg mot målinriktade system,” FireEye experter skrev i sin rapport. “Gruppen har visat en önskan att ha tillgång till ett offer miljö för så länge som är nödvändigt för att förstå nätet layout, nödvändiga tillstånd, och system teknik för att uppnå sina mål.”
“APT38 också vidtar åtgärder för att se till att de förblir oupptäckta medan de utför sina inre spaning,” tillade de. “I genomsnitt har vi observerat APT38 kvar inom ett offer nätverk ungefär 155 dagar, med den längsta tid inom en äventyras systemet tros vara 678 dagar (nästan två år).”
Bild: FireEye
Men gruppen stod också ut, eftersom det gjorde det väldigt få andra ekonomiskt motiverade grupper gjorde. Det förstörde bevis när du är i risk för att bli fångad, eller efter en hacka, som en avledande taktik.
I de fall där gruppen ansåg att de lämnade för mycket kriminaltekniska data som ligger bakom, de ville inte bry sig om städning loggar från varje dator i en del, men ofta distribueras ransomware eller hårddisk-torka skadlig kod i stället.
Vissa hävdar att detta var gjort med flit för att sätta utredare på fel spår, vilket är ett giltigt argument, speciellt eftersom det nästan arbetat i vissa fall.
Till exempel, APT38 utplacerade Hermes ransomware på nätet av Far Eastern International Bank (FEIB) i Taiwan strax efter de drog sig tillbaka stora summor pengar från bankens Uttagsautomater, i ett försök att avleda DET lag på att data recovery insatser i stället för att betala uppmärksamhet till ATM-system för övervakning.
APT38 också distribuerat KillDisk hårddisk-torka av skadlig programvara på nätverket av Bancomext efter ett misslyckat försök av att stjäla över $110 miljoner euro från bankens konton, och även om det nätverk av Banco de Chile efter APT38 framgångsrikt stal $10 miljoner från sina system.
Till en början kan dessa hacka rapporterades fel i IT-system, men genom kollektiva insatser av experter runt om i världen [1, 2, 3] och tack vare ledtrådar i malware källa, experter knutna dessa hack till Nordkorea dataintrång enheter.
Men medan FireEye rapporten är första steget i att separera Nordkorea dataintrång enheter från varandra, det kommer vara en svår sak att dra bort, och den främsta anledningen är att alla Nordkorea dataintrång infrastruktur visas att i hög grad överlappar varandra, med agenter ibland återanvända malware och online-infrastruktur för alla typer av verksamheter.
Detta problem var mer än uppenbart förra månaden när det AMERIKANSKA justitiedepartementet som åtalats en nordkoreansk hacker som heter Park Jin Hyok med alla nordkoreanska hacka under solen, allt från både cyber-spionage (Sony Pictures hacka, WannaCry, Lockheed Martin hack) att ekonomiskt motiverade hacka (Bangladesh Bank heist).
Men medan företag som FireEye fortsätta att dra i snöret för nordkoreanska hacka insatser i ett försök att kasta lite ljus på tidigare attacker, Pyongyang regimen verkar inte vara intresserade av reining i APT38, trots den senaste tidens positiva utveckling i diplomatiska samtal.
“Vi tror APT38: s verksamhet kommer att fortsätta i framtiden,” FireEye sagt. “I synnerhet antalet SWIFT heists att ha varit ytterst motarbetas under de senaste åren i kombination med ökad medvetenhet om säkerhet kring den finansiella messaging system kunde köra APT38 att anställa ny taktik för att få medel speciellt om Nordkorea tillgång till valutan fortsätter att försämras.”
Tidigare och relaterade täckning:
OSS meningar till fängelse sitt första ATM jackpotterTeenage Apple hacker undviker fängelse för “hacky hack hack’ attackSydney man står inför fängelse över 3D-utskrivna vapenCNET: Waymo stämningsansökan mot Uber som avses federala åklagareTechRepublic: Nordkorea är sannolikt emissionsgarantier it-angrepp genom gruvdrift Monero
Relaterade Ämnen:
Bank
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0