Noll
Park Jin Hyok
Tidigare idag, Department of Justice i USA åtalats en nordkoreansk programmerare för några av de största it-attacker under de senaste åren.
Enligt en 179-sida JUSTITIEDEPARTEMENTETS åtal, USA anser att Jin Park Hyok, en 34-årig nordkoreansk, är en av de många individer bakom en lång rad av malware attacker och intrång, till exempel:
Den WannaCry ransomware utbrott av 2017, Försök att hacka OSS försvar entreprenör Lockheed Martin 2016, 2016 Bangladesh centralbanken cyber-heist, överträdelsen på Sony Pictures Entertainment 2014. Brott på OSS biograf kedjor AMC Teatrar och Mammut Skärmen 2014. En lång sträng av hacks av sydkoreanska medier organisationer, banker och militära enheter över flera år, och Hackar banker över hela världen från och med 2015 till 2018.
Det amerikanska JUSTITIEDEPARTEMENTET säger Park var en aktiv medlem av en regering-sponsrade hacking team känd i den privata it-säkerhet sektorn som Lazarus-Gruppen.
Men i verkligheten, säger tjänstemän, han var också en statligt anställd, som arbetar för ett statligt ägt företag som heter Chosun Expo Joint Venture (Chosun Expo nedan).
Utredarna säger att Chosun Expo grundades som ett joint venture mellan Syd och Nord koreanska regeringarna, och var tänkt att vara en e-handel och lotteri webbplats.
Sydkoreanska tjänstemän drog sig ur affären, men den nordkoreanska regeringen fortsatte att sköta företaget på olika individer, förgrenar sig i olika online-tjänster, till exempel online-spel och gambling. Företaget hade kontor i Nord-Korea och Kina, och Park skickades att arbeta i många år i bolagets Kinesiska kontor i staden Dalian.
Det, utredare sade han arbetade under titlar som “developer” och “online-spel utvecklare,” notering förmågan att koda i Java, JSP, PHP, Flash, men även Visual C++, det språk på vilket de flesta Lazarus Grupp skadlig kod skrevs i.
AMERIKANSKA tjänstemän säger att företaget var bara en front och pengar-vilket gör enheten till Lab 110, en del av NORDKOREAS militära underrättelsetjänst. En rapport utgiven av en organisation av nordkoreanska avhoppare som bor i Sydkorea, som nämns i åtalet, som identifierats Chosun Expo som ger “täcka för nordkoreanska statliga tjänstemän.”
Utredarna säger Park tillbaka till Nordkorea i slutet av 2014, strax innan den sträng av Lazarus Gruppen började hacka.
Det amerikanska JUSTITIEDEPARTEMENTET åtalet, som är en av de största i sitt slag när det gäller antalet sidor som listar en stor mängd e-postadresser som används för att registrera domännamn och köpa hosting-tjänster som används i alla hacks.
Det också innehåller IP-adresser som används för att få tillgång till malware command and control (C&C) servrar, sociala medier och hackade servrar som värd för skadlig kod som används i attacker.
Tjänstemän säger att de identifierade e-post och konton i sociala media Park som används när du arbetar på Chosun Expo, och e-post och sociala medier-konton som används av Lazarus Group under de fyra år hacka spree.
Utredare särskilt peka ut en falsk persona som heter “Kim Hyon Woo” som verkar ha länkar antingen genom IP-adress eller e-postadresser till Lazarus hacking verksamheten och deras offer.
Men tjänstemän säger att trots parkens bästa för att inte använda sin verkliga personlighet, e-post och IP-adresser för åtkomst av Lazarus Grupp infrastruktur och hackade servrar, han så småningom gled upp på grund av att han lämnat ett spår av bevis för att länka sina verkliga konton i falska mellanhand persona.
“Anslutningar mellan parkens Chosun Expo Konton och “Kim Hyon Woo’ konton har gemensam tillgång till en krypterad .rar-arkiv, spara ‘Kim Hyon Woo’ konton i Chosun Expo Konton’ adressbok, med hjälp av läskvitton mellan de två uppsättningarna av konton, med hjälp av vanliga namn och monikers, och att komma åt konton från gemensam IP-adresser, bland andra.”
Tjänstemän anser att de online-konton i samband med “Kim Hyon Woo” persona kom att användas av flera operatörer, och de är mycket säkra på att Parken var en av dem.
Dessutom, på grund av sin programmering bakgrund, de anser också att han var inblandad i skapandet av Lazarus Grupp malware.
Som en, JUSTITIEDEPARTEMENTETS tjänstemän är inte säker. Men det gjorde de påpeka att det finns otaliga av anslutningar mellan flera malware stammar Lazarus Grupp aktörer som har använts över åren.
Det amerikanska JUSTITIEDEPARTEMENTET åtalet bryter ned flera av dessa anslutningar i sitt åtal. Ett exempel:
“Både en WannaCry prov och Trojan.Alphanc används IP-adress 84.92.36.96 som ett kommando-och-kontroll IP-adress. Att IP-adressen har också en kommando-och-kontroll-adress för ett urval av skadlig kod som erhålls av FBI som droppar ett malware nyttolast på ett liknande sätt som annan skadlig kod som privata it-säkerhet företag har hänföras till Lazarus Grupp, samt skadlig kod som de ämnen som används för att rikta Lockheed Martin. Den 29 februari och den 1 Mars, 2016, en nordkoreansk IP-Adress kopplad till den IP-adressen. […] Särskilt, detta nordkoreanska IP-adressen används för att komma åt Äventyras Web Server, den 8 januari 2016; den 22 januari och 27, 2016, det är också ansluten till en komprometterad dator i North Carolina som var infekterade med skadlig kod kopplad till attack på SPE, och den 10 Mars, 2016, var det används för att få tillgång till en Facebook-profil som tidigare hade varit nås från nordkoreanska IP-Adress #2 den 13 December 2015.”
Finns det fler av dessa anslutningar som beskrivs i åtalet, och de bygger ett komplext nät som sammanbinder alla Lazarus Grupp infrastruktur, sedan leder till falska Kim Hyon Woo persona, och sedan Chosun Expo konton känd för att ha varit tidigare drivits av Parken.
Och på toppen av detta, det är också frågan om återanvändning av kod, som verkar ha hänt en hel del mellan olika stammar av Lazarus Grupp malware.
Den vanligaste utdrag av återanvända kod är vad som utredare kallas “FakeTLS” data bord, en del av koden som finns i flera Lazarus malware stammar, såsom WannaCry, MACKTRUCK (SPE-hack), NESTEGG (Filippinska Bank hack), Contopee (Filippinska Bank och Sydostasien Bank hackar), och andra.
Den FakeTLS data bord som FBI och andra undersökare som finns tycks vara relaterade till vad it-säkerhetsföretag har tidigare identifierats som “falska TLS-protokollet. Detta är en anpassad nätverk protokoll och har utformats av Lazarus Grupp hackare som är tänkt att efterlikna en TLS-anslutning, men faktiskt använder sina egna kryptering för att gömma stulna data från offren i transit.
Parken är anklagad för en räkning av konspiration för att begå dator bedrägeri och missbruk, som innebär ett maximistraff på minst fem år i fängelse, och en räkning av konspiration för att begå tråd bedrägeri, som innebär ett maximistraff på 20 år i fängelse. AMERIKANSKA tjänstemän säger att de fortfarande arbetar med att spåra upp resten av Parken är partner i brottslighet.
US Department of Treasury har också infört sanktioner på Park och Chosun Expo.
“Som en följd av dagens åtgärder, egendom eller intressen i egenskap av angivna personer i besittning eller kontroll av AMERIKANSKA personer eller inom Usa måste vara blockerad, och AMERIKANSKA personer i allmänhet är det förbjudet att göra med de personer som utsetts,” US Department of the Treasury ‘ s Office of Foreign Assets Control (OFAC) sade i dag.
UK National Crime Agency hjälpte också i undersökningen.
Relaterade Ämnen:
Regeringen
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0