Zero
Park Jin Hyok
Prima di oggi, il Dipartimento di Giustizia formalmente accusati a a Nord il coreano programmatore per alcuni il più grande cyber-attacchi negli ultimi anni.
Secondo 179-pagina DOJ accusa, NOI crede che il Park Jin Hyok, un 34-year-old corea del Nord, è una delle tante persone dietro una lunga serie di attacchi malware e intrusioni, come:
Il WannaCry ransomware scoppio del 2017;i Tentativi di hacking US defense contractor Lockheed Martin nel 2016;2016 Bangladesh Banca Centrale cyber-heist, La violazione della Sony Pictures Entertainment nel 2014;le Violazioni a NOI il cinema teatro catene AMC Theatres e Mammoth Schermo nel 2014;Una lunga serie di hack corea del Sud news, media, organizzazioni, banche, organismi militari e di diversi anni, e;Hack di banche in tutto il mondo a partire dal 2015 fino al 2018.
Il dipartimento di giustizia dice che il Parco è stato un membro attivo di un governo sponsorizzato hacking team noto in privato cyber-sicurezza settore Lazzaro di Gruppo.
Ma in realtà, dicono i funzionari, è stato anche un dipendente pubblico che lavora per una società pubblica denominata Chosun Expo Joint Venture (Chosun Expo di seguito).
Gli investigatori dicono che Chosun Expo nasce come joint venture tra il Sud e il Nord coreano governi, ed è stato pensato per essere un e-commerce e sito di lotterie.
Corea del sud funzionari tirato fuori l’affare, ma il governo nordcoreano ha continuato a gestire la società, attraverso i vari individui, che si diramano in diversi servizi online, come il gioco online e gioco d’azzardo. La società aveva uffici in Corea del Nord e Cina, e il Parco è stato mandato a lavorare per molti anni nella società Cinese per ufficio nella città di Dalian.
Lì, gli investigatori ha detto di aver lavorato sotto i titoli di “developer” e “online game developer,” che elenca la capacità di codice in Java, JSP, PHP, Flash, ma anche Visual C++, la lingua in cui la maggior parte Lazzaro di Gruppo malware è stato scritto.
Funzionari degli stati UNITI dicono che la società è stata solo una parte anteriore e una per fare soldi entità per il Laboratorio di 110, con una componente di COREA e l’apparato di intelligence militare. Un rapporto pubblicato da un’organizzazione che la corea del Nord dissidenti che vivono in Corea del Sud, citata nell’atto di accusa, identificato Chosun Expo come copertura per la corea del Nord ufficiali di governo.”
Gli investigatori dicono Park è tornato in Corea del Nord alla fine del 2014, poco prima della stringa di Lazzaro Gruppo hack iniziato.
Il DOJ accusa, uno dei più grandi del suo genere in quanto riguarda il numero di pagine, elenca una vasta gamma di indirizzi e-mail utilizzato per la registrazione di nomi a dominio e acquistare servizi di hosting utilizzato in tutti gli hack.
Esso comprende anche gli indirizzi IP utilizzati per l’accesso malware di comando e controllo (C&C) i server, account di social media, e violato i server che ospitava il malware utilizzato negli attacchi.
I funzionari dicono che hanno identificato e-mail e account di social media Parco usato durante il lavoro al Chosun Expo, e-mail e account di social media utilizzati Lazzaro di Gruppo durante i suoi quattro anni di hacking sprea.
Gli investigatori soprattutto un falso persona di nome “Kim Hyon Woo” che sembra avere collegamenti, indirizzo IP o indirizzi e-mail Lazzaro di hacking operazioni e le loro vittime.
Ma i funzionari dicono che, nonostante il Parco del suo meglio per non usare il suo vero mondo di persona, e-mail, e gli indirizzi IP per l’accesso Lazzaro infrastruttura del Gruppo e violato i server, alla fine ha successo perché ha lasciato una scia di prove che collegano il suo mondo reale conti per il falso intermediario persona.
“Le connessioni tra il PARCO Chosun Expo Conti e ‘Kim Hyon Woo’ conti includono l’accesso condiviso a un crittografati .archivio rar, risparmio di la ‘Kim Hyon Woo’ conti in Chosun Expo degli Account, rubrica, utilizzando le conferme di lettura tra le due serie di conti, utilizzando i più comuni nomi e soprannomi, e l’accesso ai conti dal comune indirizzi IP, tra gli altri.”
I funzionari ritengono che i conti online associati con il “Kim Hyon Woo” persona sono stati utilizzati da più operatori, e sono molto fiducioso che il Parco era uno di loro.
Inoltre, a causa della sua programmazione, sfondo, inoltre, essi credono che egli è stato coinvolto nella creazione di Lazzaro malware Gruppo.
Che uno, DOJ i funzionari non sono sicuro. Ma l’hanno fatto notare che ci sono innumerevoli connessioni tra i diversi ceppi di malware Lazzaro Gruppo di operatori che hanno utilizzato nel corso degli anni.
Il DOJ accusa rompe molte di queste connessioni nel loro atto d’accusa. Un esempio:
“Sia un WannaCry campione e Trojan.Alphanc indirizzi IP usati 84.92.36.96 come un comando-e-controllo dell’indirizzo IP. Che indirizzo IP è stato anche un comando-e-controllo a campione di malware ottenuto dall’FBI, che gocce di un payload di malware in modo simile a come altri malware che privata cyber società di sicurezza hanno attribuito al Lazzaro di Gruppo, nonché di malware che i soggetti la cui destinazione è la Lockheed Martin. Il 29 febbraio e il 1 Marzo, 2016, un coreano del Nord Indirizzo IP connessi a quell’indirizzo IP. […] In particolare, questo a Nord il coreano indirizzo IP utilizzato per accedere al Server Web Compromesso, 8 gennaio, 2016; il 22 gennaio e il 27 ottobre, 2016, con collegamento a un computer compromesso in North Carolina, che è stato infettato con malware legati all’attacco SPE; e, il 10 Marzo, 2016, è stato utilizzato per accedere a Facebook profilo che in precedenza era stata letta da Nord coreano Indirizzo IP #2 il 13 dicembre del 2015”.
Ci sono più di queste connessioni dettagliate nell’atto di accusa, e la costruzione di un complesso di maglia che interconnette tutte le Lazzaro infrastruttura del Gruppo, poi porta al falso Kim Hyon Woo persona, e quindi di Chosun Expo conti noto per essere stato precedentemente gestito dal Parco.
E in cima a questo, c’è anche la questione del riutilizzo del codice, che sembra essere accaduto molto tra i diversi ceppi di Lazzaro malware Gruppo.
Il più comune frammento di riutilizzo del codice è quello che gli investigatori chiamato “FakeTLS” tabella di dati, una porzione di codice che si trova in più di Lazzaro ceppi di malware, come WannaCry, MACKTRUCK (SPE hack), NESTEGG (Filippini Banca hack), Contopee (Filippini Banca e il sud-est Asiatico Banca hack), e altri.
Il FakeTLS tabella di dati che l’FBI e altri ricercatori hanno scoperto sembra essere legato a ciò che il cyber-aziende di sicurezza hanno precedentemente identificato come il “falso TLS” protocollo. Questo è un protocollo di rete progettato da Lazarus Gruppo di hacker che lo scopo di simulare una connessione TLS, ma in realtà utilizza il proprio personalizzato schema di crittografia per nascondere il furto di dati da parte delle vittime, mentre in transito.
Il parco è accusato di un conteggio di cospirazione per commettere frode informatica e di abuso, che comporta una pena massima di cinque anni di carcere, e un conteggio di cospirazione per commettere frodi filo, che comporta una pena massima di 20 anni di carcere. NOI, i funzionari dicono che sono ancora al lavoro per rintracciare il resto del Parco è partner nel crimine.
Il Dipartimento del Tesoro ha anche imposto sanzioni su Parco e Chosun Expo.
“Come risultato di oggi è l’azione, qualsiasi proprietà o interessi in proprietà dell’area persone in possesso o il controllo delle persone degli stati UNITI o all’interno degli Stati Uniti deve essere bloccato, e gli stati UNITI persone sono generalmente proibito intrattenere rapporti con le persone designate,” il Dipartimento del Tesoro, l’Ufficio Esteri Beni Control (OFAC) ha detto oggi.
La UK National Crime Agency ha anche aiutato l’indagine.
Argomenti Correlati:
Governo
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0