Noll
(Bild: Getty Images/iStockphoto)
FireEye analys av den nordkoreanska finansiella hacking grupp som det har kallats APT38 är en viktig påminnelse om att Eremit Kungariket it-kompetens bör inte underskattas.
Som New York Times rapporterade för ett år sedan: “nordkoreas armé av mer än 6 000 hackare är onekligen ihållande, och onekligen bättre.”
APT38 är den första specialiserade it-enhet dedikerade till att tjäna pengar för en nation, en stat i staten. Tillhörande penningtvätt verksamheten bedrivs, som rapporterade Bloomberg, genom skumma spel verksamhet i minst tre länder.
“I viss mening kan man säga att Nordkorea skulle vara det största hotet just nu är att majoriteten av den globala nationer,” sade FireEye chief executive officer Kevin Mandia i ett informationsmöte för journalister på företagets It-Försvar-Toppmötet i Washington DC denna vecka.
Det är svårt att rangordna Nordkorea: s it-resurser i förhållande till Ryssland eller Kina eller Fem Ögon nationer. Alla har sina specialiteter. Men han säger att Nordkorea är farligare eftersom det är oförutsägbart.
Några nation-state-malware har “vakt-räls” för att förhindra ytterligare skador. Det kanske har ett sista datum, eller aktivera endast på särskilda platser eller miljöer. “Herrar hackare” av Kina försöker att göra så lite skada på målet system som möjligt, föredrar att hålla dem som arbetar för långsiktig tillgång.
Se: America ‘oumbärlig nation” för cybersäkerhet: Madeleine Albright
Inte så med NORDKOREA.
“Nordkorea är inte bara vakt-räcke deras skadlig kod, en bakdörr var vi analyserar hade sex olika kontroller för att se om det höll på att demonteras. Och om demonteringen upptäcktes, om det upptäcks det var som körs i en virtuell maskin, om en debugger var igång … ta bort hårddisken på den fysiska nivån,” Mandia sagt.
“Det är ett politiskt beslut av Nordkorea för att ge dig den digitala motsvarigheten till detta,” sade han och höll upp långfingret på varje hand i en mycket välkänd gest.
“För att förstöra det. Vem bryr sig? Brända jordens taktik. Spelar ingen roll.”
Nordkorea är också cybering på alla möjliga sätt, sade han. It-spionage, it-sabotage, it-brottslighet, it störningar, och desinformation verksamhet.
De senaste 12 åren, Nordkorea har utvecklat ett brett sortiment av anpassade verktyg”, enligt Jacqueline O ‘ Learys, en senior analytiker på FireEye Intelligens Avancerade Analys laget.
“De har 26, vilket är en rimlig mängd verktyg för avancerade ihållande hot (APT),” O ‘ Leary sade ZDNet på torsdag.
“De verkligen balansera en massa olika skatteflykt och anti-forensiska tekniker. De använder vindrutetorkare, de skulle kunna göra någon sorts false flag, de har en säker borttagning verktyget. De är verkligen använder flera metoder på en gång, vilket jag tycker är ganska intressant,” sade hon.
“De vill att täcka sina baser på flera olika sätt.”
APT38 försöker också för att täcka sina spår. Det försöker distrahera utredare genom att plantera handelsvara ransomware verktyg som Hermes på target-system, även om det inte är efter en lösensumma.
“Efter att de genomfört bedrägliga transaktioner, så efter att de utplacerade DYEPACK [en svit av verktyg för att manipulera data i SWIFT bank transfer system], innan de inledde disken, torka av skadlig kod, skulle de faktiskt distribuera Mörka Comet, som är allmänt tillgänglig bakdörr som ett gäng olika grupper använder,” O ‘ Leary sade.
Läs: STORBRITANNIEN och Australien skylla ryska GRU för kvartetten av it-attacker
FireEye anser APT38 gjorde det medvetet för att leda anti-virus program, så att utredarna skulle bli distraherad av att bakdörr, snarare än att alla anpassade verktyg som utvecklas i målmiljön.
En annan falsk-flagg distraktion var att lägga till dåligt översatta ryska karaktär strängar på sin malware NACHOCHEESE.
Nordkoreanska hackare har varit inblandade i attacker på cryptocurrency utbyte, men FireEye inte tillskriva dessa attacker för att APT38. Den toolsets som används för att attackera utbytet är liknande de som används av APT38, men det finns skillnader.
“Ett exempel som vi såg, som är specifika för APT38, var som en cryptocurrency media utlopp. Det var faktiskt en del av deras vattenhål kampanj,” O ‘ Leary sade, med hänvisning till en attack på en specifik grupp av människor genom att rikta webbplatser där de samlas.
“Det var nog riktad på grund av dess närhet till bank. Vi tror att det skedde en första myntet erbjuder (ICO), så det kan ha varit betydande trafik banker som finansiella institutioner till att media utlopp.”
FireEye forskning finns beskriven i rapporten APT38: Fn-Vanliga Misstänkta [PDF], som släpptes på onsdagen.
Upplysningar: Stilgherrian reste till Washington DC som gäst på FireEye
Relaterade Täckning
Nordkorea hävdar hacker som ansvarar för att WannaCry utbrott finns inte
Landet insisterar på åtalet av en “hacker” är inget annat än en smutskastningskampanj.
Hur den AMERIKANSKA myndigheterna har spårat den nordkoreanska hacker bakom WannaCry
AMERIKANSKA myndigheter tillsammans i fyra år till ett värde av malware prover, domännamn, e-post och sociala medier-konton för att spåra upp en av Lazarus Grupp hackare.
Nordkorea är sannolikt emissionsgarantier it-angrepp genom gruvdrift Monero (TechRepublic)
AlienVault hot ingenjör Chris Doman förklarar en ny rapport om skadlig kod som gruvor Monero mynt, och sedan skickar dem till en nordkoreansk universitetet i Pyongyang.
Kan ryska hackare stoppas? Här är varför det kan ta 20 år (TechRepublic)
Stoppar hackare är nästan omöjligt när belöningen är så stor och riskerna är så låg. Kan något stoppa dem?
America ‘oumbärlig nation” för cybersäkerhet: Madeleine Albright
USA bör ta ledningen i fastställandet av internationella cyber normer, säger Albright, men kan inte göra det ensam. Internationella institutioner som Fn kommer att behöva effektiviseras.
Relaterade Ämnen:
Sydkorea
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0