Hallituksen sanktioima tietoverkkorikollisuus – mikä on Lazarus-ryhmä?

Tietoverkkorikollisuus on uhka. Arvioiden mukaan kyberrikollisuuden järjestelmille maailmanlaajuisesti aiheuttama yhdistetty vahinko oli jopa 6 biljoonaa Yhdysvaltain dollaria vuonna 2021. Ja jos luku näyttää jo pelottavalta, sen odotetaan nousevan 10.5 biljoonaan dollariin vuoteen 2025 mennessä. Vuonna 2015 se oli 3 biljoonaa dollaria. Yli 300 %:n kasvu vuosikymmenessä on asia, josta meidän kaikkien on huolehdittava. Kyllä, luit oikein!

Mikä on tietoverkkorikollisuus?

Kyberrikollisuus on kattotermi, joka kattaa suuren joukon suunnitelmia ja pyrkimyksiä häiritä, vahingoittaa ja vahingoittaa verkkoja ja järjestelmiä. Se voi olla mikä tahansa haitallinen toiminta, joka kohdistuu tietokoneeseen, tietokoneverkkoon tai verkkolaitteeseen. Se voi olla haittaohjelmahyökkäys, jossa hyökkääjä saastuttaa järjestelmän viruksella.

Tietojenkalastelukampanjassa käytetään roskapostiviestejä, viestejä tai muita viestintätapoja huijatakseen vastaanottajaa vaarantamaan tietosuojan. Hajautettu DoS-hyökkäys, joka usein kohdistuu IoT-laitteisiin, kaataa tietyn järjestelmän tai verkon.

Kyberrikollisuuden tyyppejä voivat olla myös taloustietojen, kortti- tai maksutietojen varkaudet, verkkokiristys, verkkovakoilu, tekijänoikeusloukkaukset, laittomat uhkapelit, lunnasohjelmahyökkäykset ja paljon muuta.

Globaalisti arvostetun kyberturvayrityksen Kasperskyn esittämien tietojen mukaan yksittäinen hyökkäys, joka voi olla tietomurto, haittaohjelma, kiristysohjelma tai DDoS-hyökkäys, voi maksaa yritykselle sen koosta riippumatta keskimäärin 200,000 XNUMX dollaria. Itse asiassa vakuutusyhtiö Hiscoxin tiedot osoittavat, että kyseiset yritykset voivat lopettaa toimintansa kuuden kuukauden kuluessa hyökkäyksestä.

Epäilemättä verkkorikollisuus on jotain, jolla on vakavia ja vakavia seurauksia. Hyökkääjät tai hakkerit ovat levinneet maailmanlaajuisesti ja heillä on valmiudet hyökätä mihin tahansa järjestelmään tai verkkoon mistä tahansa etäpaikasta.

Rikollisuus on kuitenkin jotain, jota emme yleensä yhdistä valtion tukemiin virastoihin. He panevat täytäntöön lakeja. Tuskin pidämme heitä rikollisina. Ja olisit varmasti hämmästynyt, jos otamme tässä vaiheessa esille hallituksen hyväksymän kyberrikollisuuden. Mutta ei ole harvinaista, että kyberrikollisuutta käytetään poliittisiin tarkoituksiin ja katsotaan rahallisten hyötyjen ulkopuolelle. Täällä keskustelemme tyypillisestä tällaisen maineen tapauksesta, joka väittää valtion osallisuuden tietoverkkorikollisuuden tekemiseen.

Jon Chang Hyokin ja Kim Ilin kummallinen tapaus

Federal Bureau of Investigationin sivusto mainitsee kaksi pohjoiskorealaista henkilöä etsittyjen luettelossaan. Sekä Jon Chang Hyok että Kim Il syytetään salaliitosta pankki- ja pankkipetoksista sekä tietokonepetoksista. Molemmat olivat väitetysti valtion tukemia hakkereita, jotka olivat osa väitettyä rikollista salaliittoa, joka johti historian kalleimpiin tietokonemurtoihin. Mutta nämä eivät ole tavallisia syytettyjä. Nämä eivät ole tekijöitä, jotka työskentelevät yksinkertaisen varojen ryöstelyn agendan parissa. Heidän tarkoituksensa on syvempi ja hämärämpi kuin voisi odottaa.

Molempien väitetään kuuluvan Pohjois-Korean hallituksen tiedustelutoimiston hakkeriryhmään. Salaliitto, johon he molemmat ovat osallistuneet, sisältää pohjoiskorealaisia ​​hakkerointiryhmiä, joita monet kyberturvallisuustutkijat ovat kutsuneet Advanced Persistent Threat 38 (APT38) tai "Lazarus Groupiksi".

Lazarus-ryhmä ja sen väitetyt väärinkäytökset

Viimeisin maininta "pahamaineisesta" Lazarus Groupista nousi esiin, kun FBI vahvisti tammikuun lopussa 2022, että se oli ryhmä, joka järjesti 100 miljoonan dollarin Harmony Bridge Hackin kesäkuussa 2022.

23. kesäkuuta 2022 Harmony-protokollatiimi tunnisti Horizon-sillalla varkauden, jonka arvo oli noin 100 miljoonaa dollaria. Tammikuun 23. päivänä antamassaan lausunnossa FBI teki selvän huomautuksen vahvistaakseen, että Lazarus Group ja APT38, "Korean demokraattiseen kansantasavaltaan liittyvät kybertoimijat", olivat vastuussa 100 miljoonan dollarin virtuaalivaluutan varkauksista. Hyökkääjät käyttivät hyväkseen Harmonyn Horizon Ethereum -sillan tietoturva-aukkoja ja pyyhkäisivät useita sillalle tallennettuja omaisuutta 11 tapahtuman kautta.

Ennen Harmony Horizon Bridgen hakkerointia myös surullisen Lazarus-ryhmän nimi esiintyi 600 miljoonan dollarin raporteissa. Ronin Bridgen hakkerointi maaliskuussa 2022. Niille, jotka eivät tunne Ronin Bridge Hackia, se oli suurin virtuaalisen omaisuuden hyväksikäyttö vuonna 2022. Hakkeroitujen varojen arvo oli huikeat 612 miljoonaa dollaria. Se sisälsi 173,600 25.5 ETH:n ja XNUMX miljoonan Yhdysvaltain dollarin kolikoita.

Axie Infinity, play-to-earn non-fungible token (NFT) -peli, käytti Roninia Ethereumin sivuketjuna. Selittäessään hyökkäyksen luonnetta Axie Infinityn kehittäjät Sky Mavis huomauttivat, että hakkerit pääsivät yksityisiin avaimiin vaarantaakseen validointisolmuja ja hyväksyäkseen liiketoimia vilpillisesti varojen tyhjentämiseksi sillalta.

Yhdysvaltain valtiovarainministeriön ulkomaan omaisuuden valvontavirasto päivitti Specially Designated Nationals and Blocked Persons (SDN) -luettelonsa huhtikuun 2022 puolivälissä ehdottaakseen, että Lazarus Group voisi järjestää hakkeroinnin. Hakkerit olivat toimissaan niin hienostuneita ja salaisia, että se havaittiin useita päiviä hakkeroinnin jälkeen, vaikka se olikin yksi suurimmista ryöstöistä laatuaan kryptoavaruudessa.

Sama oli Harmony Horizon Bridge Hackin luonne, jossa Lazarus Group hyödynsi RAILGUN-tietosuojaprotokollaa kanavoidakseen yli 60 miljoonan dollarin arvosta Ethereumia, joka varastettiin hakkeroinnin aikana. FBI:n tutkimusten mukaan osa näistä varoista pidettiin jäädytettynä yhteistyössä joidenkin VASP:iden kanssa, kun taas jäljelle jäänyt Bitcoin siirrettiin myöhemmin muihin osoitteisiin.

FBI on pitänyt kyber- ja virtuaaliomaisuusyksikkönsä käytössä sekä Yhdysvaltain oikeusministeriön ja Yhdysvaltain oikeusministeriön kryptoyksikön tunnistamaan, sieppaamaan ja häiritsemään tämän pohjoiskorealaisen ryhmän toimia. Virasto uskoo, että ryhmän virtuaalivaluuttojen varkauksien ja pesun tarkoituksena on tukea Pohjois-Korean ballististen ohjusten ja joukkotuhoaseohjelmia.

Yhteinen kyberturvallisuusneuvonta on annettu

18. huhtikuuta 2022 Cybersecurity and Infrastructure Security Agency (CISA) julkaisi yhdessä FBI:n ja Yhdysvaltain valtiovarainministeriön kanssa neuvonnan "Pohjois-Korean valtion tukemasta toiminnasta, joka kohdistuu lohkoketjuteknologiaan ja kryptovaluuttateollisuuteen".

Uhat

Neuvonnassa todetaan, että kryptovarkauksiin liittyvä kyberuhka on ollut aktiivinen ainakin vuodesta 2020 lähtien. Asiakirjassa tunnustettiin myös yksiselitteisesti tämä Advanced Persistent Group (APT) -uhka Pohjois-Korean valtion sponsoroimaksi. Toimistot merkitsivät ryhmän nimellä Lazarus Group, APT 38, BlueNoroff ja Stardust Chollima.

Yhdysvaltain hallituksen uhka-analyysi merkitsee nämä haitalliset kybertoimijat kokonaisuuksiksi, jotka kohdistuvat useisiin lohkoketju- ja kryptoteollisuuden organisaatioihin. He eivät säästä ketään. Kohteiden luettelo sisältää kryptopörssit, DeFi-protokollat, P2E-kryptovaluuttavideopelit, kryptovaluuttakaupan yritykset, riskipääomarahastot ja yksittäiset suuren kryptovaluutan tai arvokkaiden NFT-määrien haltijat.

Lazarus Group ja sen kaltaiset kybertoimijat ovat taitavia sosiaalisen suunnittelun uhreissa useiden viestintäalustojen kautta houkutellakseen heidät lopulta lataamaan troijalaisia ​​kryptosovelluksia Windows- ja macOS-käyttöjärjestelmiin. Näiden sovellusten kautta nämä hakkerit ja hyökkääjät pääsevät loppukäyttäjän tietokoneeseen ja levittävät haittaohjelmia koko verkkoympäristöön.

Neuvonta huomautti, että Lazarus Group oli vastuussa kohdistamisesta useisiin yrityksiin, yhteisöihin ja pörsseihin lohkoketju- ja kryptoteollisuudessa. Heidän menetelmänsä olivat keihäs-phishing-kampanjat ja haittaohjelmien käyttö varastamiseen.

AppleJeus-haittaohjelma

FBI, CISA ja DoT tunnistivat erityisesti AppleJeus-haittaohjelmien käytön Lazarus Groupin kohdistamisessa organisaatioihin kryptovarkauksia varten yli 30 maassa viime vuosina. Viraston raportissa todettiin, että Pohjois-Korea oli käyttänyt "AppleJeus-haittaohjelmia kryptovaluuttojen kaupankäyntialustoina ainakin vuodesta 2018 lähtien".

Haitallinen sovellus näyttää olevan laillisen kryptokauppayrityksen luoma. Ja yksilöt, jotka ovat jääneet haittaohjelman ansaan, uskovat sen olevan kolmannen osapuolen sovellus lailliselta verkkosivustolta ja lataavat sen.

Pohjois-Korean hallitus on oletettavasti käyttänyt useita haittaohjelmien versioita viimeisen viiden vuoden aikana siitä lähtien, kun se löydettiin vuonna 2018.

Toteutusmenetelmä

Kyberrikolliset aloittavat toimintansa lähettämällä lukuisia phishing-kampanjoita kryptoliiketoiminnan työntekijöille. Ne on suunnattu enimmäkseen ihmisille, jotka työskentelevät järjestelmähallinnossa tai ohjelmistokehityksessä/IT-toiminnoissa (DevOps).

Näiden hakkerien lähettämät viestit ovat enimmäkseen rekrytointihälytyksiä, jotka tarjoavat korkeapalkkaisia ​​töitä. Näillä houkutuksilla he yllyttävät näitä työntekijöitä lataamaan haittaohjelmia sisältäviä kryptosovelluksia, joita hallitus kutsuu nimellä TraderTraitor. TraderTraitor-kampanjoissa on verkkosivustoja, joissa on moderni muotoilu.

Listaessaan Jon Chang Hyokin FBI:n etsityimmälle listalle virasto merkitsi samankaltaisia ​​rikoksia hänen nimeensä ja sanoi, että hänen väitettiin olleen suoraan osallisena "haitallisten kryptovaluuttasovellusten kehittämiseen ja levittämiseen, jotka kohdistuvat lukuisiin kryptovaluuttapörsseihin ja muihin yrityksiin".

Kim Ilin osalta väitetty rikos liittyi "rahoituslaitosten kyberkäyttöisiin ryöstöihin" ja Marine Chain ICO -huijaukseen.

Marine Chain ICO -huijauksen aloitti kolme Pohjois-Korean tiedustelupalvelun työntekijää. Se oli ilkeä temppu kerätä varoja vilpillisesti vuoden 2018 ICO-buumin heinäpäivinä, jolloin projekteista kerättiin lähes 12 miljardia dollaria.

Marine Chain esitti itsensä "seuraavan sukupolven maailmanlaajuiseksi merenkulun sijoitusmarkkinapaikaksi, jonka lohkoketjuteknologia mahdollistaa". Se lupasi, että alusten omistajat voisivat merkitä laivojensa osaomistuksen ja myydä nämä osaomistuksen kolikot yksityishenkilöille ja instituutioille. He kutsuivat sitä Vessel Token Offeringsiksi, joka lupasi tapahtua Ethereum-lohkoketjussa.

Kim Il ja Jon Chang Hyok sekä Park Jin Hyok – kaikki Pohjois-Koreasta – olivat Marine ICO:n perustajia. He piilottivat sen tosiasian, että he olivat Pohjois-Korean sotilasviraston, Reconnaissance General Bureaun (RGB) jäseniä. He käyttivät vääriä nimiä ja kanavoivat jokaisen ICO:ssa kerätyn pennin Pohjois-Korealle välttäen Yhdysvaltain pakotteita. Kolmikkoa syytettiin 1.3 miljardin dollarin varkausyrityksestä monien kiristyssuunnitelmien ja kyberhyökkäysten kautta.

Mitä tapahtuu?

Vaikka Yhdysvaltain tutkintavirastot havaitsevat ja jäljittävät hakkereita ja kiristysyrityksiä säännöllisesti, sekä Kim Il että Jon Chang Hyok ovat edelleen FBI:n etsityimpien listalla. Pidätysmääräykset on annettu. CISA oli kuitenkin varma paljastaessaan, että "nämä toimijat todennäköisesti jatkavat kryptovaluuttateknologiayritysten, peliyhtiöiden ja pörssien haavoittuvuuksien hyödyntämistä tuottaakseen ja pestäkseen varoja Pohjois-Korean hallinnon tukemiseksi".