[[386160]]

近日，F(xiàn)BI、CISA 和美國財政部提交了有關自 2018 年以來朝鮮黑客竊取加密貨幣的指控書。美國政府對三名屬于朝鮮軍事情報局偵察總局(RGB)的黑客發(fā)起了非公開起訴，指控幾人在近年來的多次網(wǎng)絡攻擊中擔任主要角色，從全球竊取了超過 13 億美元。

同時，F(xiàn)BI、財政部和美國國土安全部的網(wǎng)絡安全與基礎設施安全局(CISA)也發(fā)布了與朝鮮有關的、名為 AppleJeus 的攻擊行動的惡意軟件詳細信息和 IoC 指標。美國政府公開發(fā)布了自首次發(fā)現(xiàn)該惡意軟件以來出現(xiàn)的七個 AppleJeus 變種的詳細信息。助理總檢察長 John Demers 在準備好的聲明中表示美國政府將會繼續(xù)揭露朝鮮的攻擊行動，同時他也強調(diào)起訴另一個國家的攻擊行為需要建立國際共識。

本月初，監(jiān)測朝鮮活動的專家小組向聯(lián)合國安理會提交了一份報告，報告顯示朝鮮通過對金融公司和加密貨幣交易所發(fā)起網(wǎng)絡攻擊以竊取發(fā)展核現(xiàn)代化的資金。

其中一個黑客是 Park Jin Hyok(36 歲)，在 2018 年美國政府就因參與眾多網(wǎng)絡攻擊對他提起指控，其中包括 2014 年對 SONY 的攻擊、2017 年 WannaCry 的攻擊以及 2016 年從 Bangladesh 銀行盜竊 8100 萬美元。

另外兩人分別是 Jon Chang Hyok(31 歲)和 Kim Il(27 歲)，據(jù)稱他們與 Park 一起開展了攻擊行動。在指控中，美國政府聲稱這幾個人需要為對越南、孟加拉國、中國臺灣和其他國家/地區(qū)的銀行發(fā)起的攻擊而負責，這些攻擊總共竊取了超過 12 億美元。其他攻擊行動也包括 ATM cash-out 攻擊、勒索軟件攻擊、惡意加密貨幣應用程序的創(chuàng)建和分發(fā)以及竊取加密貨幣。

這三個人都被確定為 RGB 的成員，該組織長期被網(wǎng)絡安全行業(yè)追蹤，如 Lazarus Group、APT38、Stardust Chollima 等。

另外，還一同起訴了一位 37 歲的加拿大裔美國人 Ghaleb Alaumary。目前他對幫助朝鮮進行大規(guī)模洗錢已經(jīng)認罪伏法。

LogRhythm 首席產(chǎn)品官 Rusty Carter 表示：“大家可能會對起訴書中的細節(jié)感到驚訝，該組織的核心動機是利益驅(qū)動，活動范圍廣且方法多樣。不僅針對政府和大型金融公司，連消費者個人也不放過”。

去年 9 月，Intel 471 檢查了多來源數(shù)據(jù)，得出的結(jié)論：朝鮮攻擊者也活躍于地下市場，并與講俄語的頂尖犯罪網(wǎng)絡集團(如 TA505)保持密切聯(lián)系。該公司發(fā)現(xiàn)，朝鮮攻擊者編寫并打算使用的惡意軟件很可能是通過屬于俄羅斯網(wǎng)絡犯罪分子的網(wǎng)絡基礎設施進行分發(fā)傳播的。Intel 471 首席執(zhí)行官 Mark Arena 認為，說俄語的網(wǎng)絡犯罪分子為朝鮮的攻擊者提供了進入金融機構(gòu)的通道。在金融機構(gòu)內(nèi)部進行后續(xù)入侵活動是一項復雜的任務，朝鮮攻擊者多年來已經(jīng)成功地完成了很多次攻擊。

包括 NTT Security 和 SentineOne 在內(nèi)的其他公司也指出，朝鮮攻擊者與總部位于俄羅斯的攻擊者之間存在潛在的合作關系。

此外，攻擊者還通過網(wǎng)絡釣魚和社會工程技巧來分發(fā)惡意軟件。攻擊對象涵蓋多個行業(yè)：包括政府、金融、能源、技術(shù)和電信。受害者包括美國、加拿大、中國、德國、印度、意大利和日本。

參考來源：

• DarkReading
• 美國司法部