Sjevernokorejski sajber špijuni osnovali su dvije kompanije u SAD-u, kršeći sankcije Ministarstva finansija, kako bi inficirali programere koji rade u kripto industriji malicioznim softverom, navode bezbjednosni istraživači i dokumenta koje je pregledao Reuters.
Kompanije Blocknovas LLC i Softglide LLC osnovane su u državama Novi Meksiko i Njujork koristeći lažne identitete i adrese, kazali su istraživači iz Silent Push, američke firme za sajber bezbjednost. Treća kompanija, Angeloper Agency, povezana je s ovom kampanjom, ali izgleda da nije registrovana u Sjedinjenim Američkim Državama.
„Ovo je rijedak primjer da su sjevernokorejski hakeri uspjeli da legalno registruju korporativne subjekte u SAD-u kako bi stvorili fasade koje koriste za napade na nesumnjičave kandidate za posao“, izjavila je Kasey Best, direktorka za obavještajne prijetnje u kompaniji Silent Push.
Hakeri su dio podgrupe unutar Lazarus Grupe, elitnog tima sjevernokorejskih hakera koji djeluju u sklopu Biroa za izviđačke operacije, glavne spoljne obavještajne agencije Pjongjanga, navodi Silent Push.
FBI je odbio da komentariše konkretno slučajeve Blocknovas ili Softglide. Ipak, u četvrtak je na sajtu Blocknovas objavljeno FBI obavještenje o zaplijeni domena, gdje se navodi da je domen zaplijenjen „kao dio policijske akcije protiv sjevernokorejskih sajber hakera koji su koristili ovaj domen da obmanu ljude lažnim oglasima za posao i distribuiraju malver.“a
Prije zaplijene, zvaničnici FBI-a su za Reuters izjavili da biro nastavlja „da se fokusira na nametanje rizika i posljedica, ne samo po same hakere iz Sjeverne Koreje, već i po svakoga ko im pomaže u sprovođenju ovakvih šema.“
Jedan FBI zvaničnik je rekao da su sajber operacije Sjeverne Koreje „možda jedna od najnaprednijih trajnih prijetnji“ sa kojima se suočavaju Sjedinjene Američke Države.
Misija Sjeverne Koreje pri Ujedinjenim nacijama u Njujorku nije odmah odgovorila na zahtjev za komentar.
„Ovi napadi koriste lažne identitete i pozive na intervjue, koji vode ka sofisticiranim implementacijama malvera, s ciljem kompromitovanja kripto novčanika programera, kao i njihovih lozinki i pristupnih podataka koji bi se mogli koristiti za dodatne napade na legitimne firme“, rekla je Best.
Silent Push je potvrdio više žrtava ove kampanje, „posebno putem Blocknovasa, koji je daleko najaktivnija od tri fasadne kompanije“, navodi se u izvještaju koji su istraživači podijelili s Reutersom prije objave.
SANKCIJE
Reuters je pregledao registracione dokumente za Blocknovas i Softglide podnesene u Novom Meksiku i Njujorku. Reuters nije uspio da pronađe osobe navedene u registracionim dokumentima.
Registracija Blocknovasa navodi fizičku adresu u Warrenville, Južna Karolina, koja se prema Google mapama nalazi na praznom zemljištu. Softglide izgleda da je registrovana putem male poreske kancelarije u Buffalo, Njujork.
Ova aktivnost predstavlja nastavak evolucije široke sjevernokorejske kampanje usmjerene na kripto sektor s ciljem prikupljanja sredstava za vladu Sjeverne Koreje.
Pored krađa strane valute putem sajber napada, Sjeverna Koreja je poslala hiljade IT radnika u inostranstvo kako bi zaradili milione dolara za finansiranje nuklearnog raketnog programa Pjongjanga, navode SAD, Južna Koreja i Ujedinjene nacije.
Postojanje firme pod kontrolom Sjeverne Koreje, registrovane od strane RGB-a u SAD-u, predstavlja kršenje sankcija Kancelarije za kontrolu strane imovine (OFAC), koja djeluje u sklopu Ministarstva finansija. Takođe, to je kršenje sankcija Ujedinjenih nacija koje zabranjuju komercijalne aktivnosti Sjeverne Koreje usmjerene na podršku vladi ili vojsci te izolovane zemlje.
Ministarstvo državne uprave Njujorka reklo je za Reuters da ne komentariše kompanije registrovane u toj saveznoj državi. Kancelarija sekretara za državnu upravu Novog Meksika navela je u mejlu u četvrtak da je kompanija registrovana putem državnog online sistema za domaće LLC-e. „Registracija je bila u skladu sa državnim zakonima, preko registrovanog agenta, i naša kancelarija ne bi mogla znati da ima veze sa Sjevernom Korejom“, rekao je predstavnik kancelarije.
Hakeri su pokušali da inficiraju kandidate za lažne poslove sa najmanje tri poznata soja malvera prethodno povezana sa sjevernokorejskim sajber operacijama. Malver povezan s kampanjom, kako navodi Silent Push, može se koristiti za krađu informacija, omogućavanje pristupa mrežama i instalaciju dodatnih vrsta malvera.
Izvor: Reuters
