Panel Ujedinjenih Naroda je izjavio da istražuje 58 sajber napada za koje se navodno odgovorni hakeri iz Sjeverne Koreje, a što je napadačima omogućilo da u periodu od šest godina zarade oko 3 milijarde dolara.
U izvještaju objavljenom 7. marta, stručnjaci UN-a su rekli da su pratili aktivnosti “hakera podređenih Generalnom birou za izviđanje (RGB), uključujući Kimsukyja, Lazarus Group, Andariel i BlueNoroff”, između 2017. i 2023. godine. Kimsuky i Lazarus su posebno dobro poznati istraživačima kibernetičke sigurnosti.
“Ključni zadaci ovih hakera su da dobiju informacije od vrijednosti za Demokratsku Narodnu Republiku Koreju i da nezakonito ostvare prihod za zemlju”, rekli su stručnjaci, ponavljajući optužbe američke vlade i drugih međunarodnih vlasti.
Ukradena intelektualna svojina pomaže režimu da napravi tehnološki napredak, a takođe se može i prodati, navodi se u izvještaju.
“Metodologije napada u zemlji i dalje uključuju spearphishing, eksploataciju ranjivosti, društveni inženjering i watering holes,” kažu stručnjaci.
Komisija trenutno istražuje 17 hakovanja kriptovaluta samo od 2023. godine, čija je vrijednost ukradenih sredstava ekvivalentna oko 750 miliona dolara.
Neki od ovih napada uključuju:
- Terraport Finance, 10. april 2023, 4 miliona dolara
- Merlin DEX, 26. april 2023, 1,8 miliona dolara
- Atomic Wallet, 2. jun 2023, 120 miliona dolara
- Alphapo, 22. jul 2023, 110 miliona dolara
- CoinsPaid, 22. jul 2023, 44 miliona dolara
- Steadefi, 7. avgust 2023, 1,16 miliona dolara
- Stake.com, 4. septembar 2023, 41,3 miliona dolara
- CoinEx, 12. septembar 2023, 70 miliona dolara
- Fondacija Fantom, 17. oktobar 2023, 7,5 miliona dolara
- Poloniex, 10. novembar 2023, 114 miliona dolara
- HTX , 22. novembar 2023, 30 miliona dolara
- HECO lanac (HTX Eco Chain bridge), 22. novembar, 86 miliona dolara
- Orbit Chain, 31. decembar 2023, 81 milion dolara
Grupe takođe nastavljaju da ciljaju na odbrambene kompanije i lance nabavke softvera i, sve više, na dijeljenje infrastrukture i alate, kažu stručnjaci.
Panel je naveo stotine izvještaja desetaka istraživačkih kompanija i firmi za sajber sigurnost koje prate napade izvedene od strane raznih grupa sjevernokorejske vlade i vojske.
Grupe su ciljale na nuklearne inženjere i kompanije koje stvaraju radarske sisteme, letjelice bez posade, vojna vozila, brodove, naoružanje i pomorske kompanije – od kojih su neke bile u Španiji, Holandiji, Poljskoj, pa čak i Rusiji.
Rusija je ili demantovala ili odbila da komentariše kada je panel upitao o nekoliko različitih incidenata koje su navodno pokrenule severnokorejske grupe. Panel je primijetio da su se kineske institucije također suočile s talasom napada sjevernokorejskih grupa.
Društveni inženjering i napadi na lanac nabavke
Izvještaj opisuje desetine različitih taktika društvenog inženjeringa koje koriste hakerske grupe, od predstavljanja lažnih regrutera na LinkedInu do manipulacije tražiocima posla na Telegramu i WhatsAppu.
Napadači su takođe naglasak stavljali na ponovljeno ciljanje južnokorejskih kompanija i vladinih organizacija, kradući bogatstvo podataka o odbrani iz mornarice zemlje, IT kompanija, univerziteta i više.
Napadi u lancu snabdijevanja koji uključuju proizvođače softvera kao što su JumpCloud, JetBrains i CyberLink također su bili istaknuti u izvještaju, a istražioci su otkrili da su JumpCloud napadi omogućili sjevernokorejskim hakerima da pokrenu dvije pljačke kriptovaluta koje su im donele oko 147,5 miliona dolara.
Izvještaj se također bavi povremeno zbunjujućom mrežom grupa koje su firme i vlade za sajber sigurnost identifikovale i povezale sa Sjevernom Korejom. Komisija je utvrdila da postoji “sve veće preklapanje” među grupama uključenim u napade.
Grupe koje su imenovane – kao što su Andariel, Kimsuky, BlueNoroff, ScarCruft i Lazarus – smještene su u različitim agencijama u Sjevernoj Koreji, ali obično sprovode zajedničke operacije i dijele infrastrukturu.
Komisija napominje da je jedan od njihovih članova bio na meti 2023. godine.
“Hakeri iz Demokratske Narodne Republike Koreje, najvjerovatnije Kimsuky, vjerovatno su bili odgovorni za ciljanje privatne adrese e-pošte člana Komisije kroz uporne spearphishing napade”, rekli su stručnjaci.
“Vijeće ponavlja svoj stav da takvi napadi na Vijeće i Komitet predstavljaju izbjegavanje sankcija.”
Sjevernokorejske grupe su također primjećene kako se bave ransomware-om, a hakeri povezani s Andariel-om ukrali su bitcoin (BTC) u vrijednosti od 360.000 dolara putem ransomware napada na tri kompanije.
“Hakeri Lazarus grupe sarađivali su sa kompanijom iz Republike Koreje na distribuciji ransomware-a i prikupili približno 2,6 miliona dolara troškova oporavka od više od 700 žrtava”, dodaje se u panelu. “Neki prihodi su navodno prebačeni u novčanik kriptovaluta u vlasništvu Lazarus grupe.”
Izvještaj uključuje niz preporuka za članice UN-a, uključujući povećanu sajber zaštitu finansijskih institucija i više sankcija za određene hakerske grupe.
Države takođe moraju pronaći načine da ograniče metode koje sjevernokorejski hakeri koriste za pranje svojih ukradenih sredstava, rekao je panel.
Blockchain sigurnosna firma Elliptic pomno prati aktivnosti Sjeverne Koreje i nedavno je ažurirala izvještaj o Lazarusovim naporima da pere novac preko Tornado Cash-a — popularne mikserske usluge od koje se grupa privremeno udaljila zbog američkih sankcija. Hakeri su se vratili i peru velike iznose, rekao je za Recorded Future News ove sedmice Tom Robinson, jedan od suosnivača Elliptika.
“Iznos koji je opran kroz Tornado Cash od ovog hakovanja koji pripisuje Lazarusu sada je dostigao 100 miliona dolara”, rekao je Robinson.
Izvor: The Record