В четвъртък Министерството на правосъдието на САЩ повдигна обвинение на гражданин на Северна Корея за серия от атаки с цел получаване на откуп срещу болници и доставчици на здравни услуги в Щатите, американски отбранителни компании, НАСА и дори срещу китайски обект.
В обвинителния акт [PDF] Рим Джонг Хьок е посочен като участник в „заговор за хакване и изнудване на американски болници и други доставчици на здравни услуги, изпиране на приходите от откупи и последващо използване на тези приходи за финансиране на допълнителни компютърни прониквания в отбранителни, технологични и правителствени структури по целия свят“.
Твърди се, че Рим е използвал зловреден софтуер, разработен във висшето военно разузнаване на Северна Корея – Генералното разузнавателно бюро (RGB), което според обвинителния акт ръководи киберзвено, идентифицирано по различни начини като Andariel, Onyx Sleet и Silent Chollima. Известно е, че Andariel се е насочвал към ERP системи, Onyx Sleet е преследвал среди на DevOps, а Silent Chollima е свързан с внедряването на ransomware Maui.
Това е зловредният софтуер, за който се твърди, че Rim е участвал в разгръщането му срещу цели, включително осем базирани в САЩ здравни организации. Andariel също така е успял да ексфилтрира данни от Службата на генералния инспектор на НАСА, четири базирани в САЩ отбранителни компании и две бази на американските военновъздушни сили.
Бандата е атакувала и в други държави. В обвинителния акт като цели се споменават двойка южнокорейски отбранителни компании, както и един южнокорейски производител. Дори китайска енергийна компания е станала мишена – странно, като се има предвид, че Северна Корея зависи от Народната република за покровителство и ресурси.
В обвинителния акт се твърди, че обвиняемите са изпирали откупи в Китай, след което са използвали приходите за закупуване на инфраструктура, използвана за извършване на още обири по света – включително гореспоменатите набези за ексфилтрация.
Министерството на правосъдието и ФБР съобщиха, че са пресекли „приблизително 114 000 долара във виртуална валута, получени от атаки с цел откуп и свързани с тях транзакции за пране на пари“, и са иззели онлайн акаунти, използвани от съучастниците по това дело.
Но не могат да конфискуват Рим – неговото местонахождение, както и настоящата му самоличност, са неизвестни. Чичо Сам е обявил награда от 10 млн. долара за информация, която ще позволи на властите да го открият.
Майкрософт и Mandiant се включват
В същия ден, в който бе разкрит обвинителният акт, Microsoft и Mandiant публикуваха своето виждане за това как Andariel върши мръсните си дела.
Microsoft смята, че екипът действа от 2014 г. и използва „обширен набор от персонализирани инструменти и зловреден софтуер“, които редовно развива.
„Способността на Onyx Sleet да разработва спектър от инструменти за стартиране на своята изпитана верига от атаки го прави постоянна заплаха, особено за цели, представляващи интерес за севернокорейското разузнаване, като организации в отбранителния, инженерния и енергийния сектор“, според оценката на Microsoft.
Сред арсенала му: персонализирани задни вратички с имена LightHand и BlackRAT, които позволяват изпълнението на команди на отдалечени целеви устройства. Бандата разработва и потребителски зловреден софтуер, като например зловредния софтуер Dora RAT, разгърнат през май тази година, за да бъде насочен към южнокорейски организации.
Освен своите персонализирани инструменти бандата се насочва към добре познати проблеми като дефекта Log4J и уязвимостта Confluence на Atlassian за неправилно оторизиране.
Mandiant използва името „APT 45“, за да опише бандата, твърди, че тя е активна от 2009 г., и отбелязва, че някои от докладваните от нея експлойти са свързани с известната Lazarus Group.
„APT45 и клъстерите от дейности, за които се подозира, че са свързани с групата, са силно свързани с отделна генеалогия на семейства зловреден софтуер, отделна от аналогични севернокорейски оператори като TEMP.Hermit и APT43“, твърди Mandiant, преди да отбележи, че групата е най-често наблюдаваният севернокорейски тартор на критична инфраструктура.
Обвинителният акт е внесен в Окръжния съд на САЩ за района на Канзас – отражение на факта, че болницата в Канзас е първата посочена жертва.
„Макар че Северна Корея използва този вид киберпрестъпления, за да заобикаля международните санкции и да финансира своите политически и военни амбиции, въздействието на тези безсмислени действия има пряко отражение върху гражданите на Канзас“, заявява в каноничен цитат отговорният специален агент Стивън А Сайръс от полевия офис на ФБР в Канзас Сити. „Тези действия пречат на семействата ни да получат необходимото им здравеопазване, забавят реакцията на нашите служби за бързо реагиране, застрашават критичната ни инфраструктура и в крайна сметка струват скъпо на Канзас чрез платените откупи, загубената производителност и парите, похарчени за възстановяване на мрежите ни след кибератаки.“
Сайръс допълни, че обвиненията, представени в четвъртък, „доказват, че тези кибернетични актьори не могат да действат безнаказано и че злонамерените действия срещу гражданите на Канзас и останалата част от Съединените щати имат тежки последици“.
