Policija u Seulu optužila je sjevernokorejsku hakersku grupu Andariel za krađu osjetljivih odbrambenih tajni od južnokorejskih kompanija iz oblasti odbrane i pranje prihoda od ransomware-a natrag u Sjevernu Koreju. Hakeri su ukrali 1,2 TB podataka, uključujući informacije o naprednom protivvazdušnom oružju.
Policijska agencija Seula saopštila je da je sjevernokorejska hakerska grupa koristila servere iznajmljene od domaće kompanije za iznajmljivanje servera kao bazu operacija za hakovanje desetina južnokorejskih firmi, uključujući odbrambene kompanije. Kampanja je takođe iznudila otkupninu od drugih subjekata privatnog sektora.
Agencija za provođenje zakona sprovela je zajedničku istragu s FBI-jem ranije ove godine kako bi procijenila obim Andarielovih hakerskih operacija nakon što su neke južnokorejske kompanije prijavile da su pretrpjele sigurnosne incidente za koje se plaše da bi mogli uzrokovati “pad korporativnog povjerenja”.
Istraga je utvrdila da je Andariel, za koju se vjeruje da je podgrupa Lazarus Grupe, ukrala do 1,2 terabajta podataka od južnokorejskih organizacija i takođe iznudila ukupno 470 miliona vona, ili oko 357.000 dolara, u bitkoinu od tri domaće i strane kompanije kao otkupninu.
Mandiant je izvijestio da Andariel vodi sjevernokorejska obavještajna agencija Reconnaissance General Bureau i da prvenstveno cilja na strane kompanije, vladine agencije, odbrambene kompanije i infrastrukturu finansijskih usluga kako bi prikupila obavještajne podatke u korist sjevernokorejskog režima.
Grupa se takođe bavi sajber kriminalom kako bi finansirala svoje operacije, primjenjujući prilagođene alate kao što su DTrack malver i Maui ransomware za ciljane organizacije širom svijeta. Južna Koreja je u februaru sankcionisala Andariel i druge sjevernokorejske hakerske grupe zbog vođenja ilegalnih sajber aktivnosti za finansiranje programa nuklearnog i raketnog razvoja totalitarnog režima.
Policija je saopštila da je Andariel uspostavila najmanje 83 veze sa iznajmljenim serverom u Južnoj Koreji kako bi ciljala organizacije i koristila račun strane žene za pranje bitcoina dobijenih od žrtava ransomware-a. Istražitelji su otkrili da su IP adrese koje su hakeri koristili za povezivanje sa “tranzitnim serverom” locirane u Ryugyong-dongu, poznatoj turističkoj atrakciji u centru Pjongjanga i gdje se nalazi hotel Ryugyong, najviša zgrada u Sjevernoj Koreji.
Policija je saopštila da su neke od organizacija žrtava prijavile hakerske napade policiji, neke su odlučile da plate otkup, ali nisu prijavile napade, a neke organizacije, uključujući odbrambene kompanije, nisu ni bile svjesne da su njihovi sistemi hakovani.
Andariel je koristila nekoliko domaćih i ofšor berzi kriptovaluta, kao što su Bithumb i Binance, za pranje sredstava dobijenih iznuđivanjem žrtava ransomware-a i prebacila oko 630.000 juana, ili 89.000 dolara, kineskoj K banci u provinciji Liaoning, Kina. Hakeri su zatim prebacili novac u područje blizu granice između Sjeverne Koreje i Kine i povukli sredstva iz filijale K Banke.
Policija je saopštila da je zaplijenila domaće servere i virtuelne berze koje je Andariel koristila za pokretanje napada i pranje novca i uhapsila osobu koja je posjedovala račun koji je korišten za prijenos sredstava od ransomware-a.
„Odjel za podršku sigurnosnim istragama Policijske agencije Seul Metropolitan aktivno provodi zajedničke istrage sa srodnim agencijama kao što je američki FBI u vezi s napadima u inostranstvu, žrtvama i ljudima koji su uključeni u ovaj incident, dok nastavlja da istražuje dodatne slučajeve štete i mogućnost sličnih pokušaja hakovanja”, navodi agencija.
Policija je savjetovala organizacije da pojačaju mjere kibernetičke sigurnosti, kao što su provjera sigurnosnih propusta, ažuriranje sigurnosnog softvera na najnoviju verziju i šifriranje važnih podataka kako bi spriječili hakere da ih viktimiziraju u budućnosti. Policija takođe planira istražiti kompanije za iznajmljivanje servera kako bi provjerila identitet pretplatnika i osigurala da se serveri ne koriste za činjenje sajber kriminala.
Izvor: Bank Info Security
