Вчетверг федеральные прокуроры объявили об обвинительном заключении в отношении северокорейского хакера, обвиняемого в проведении операций с использованием программ-вымогателей, нацеленных на американские медицинские учреждения, и использовании доходов от этих операций для финансирования шпионажа против американских военных и оборонных подрядчиков.
Рим Чон Хёк обвиняется в использовании вредоносного ПО, разработанного военной разведкой Северной Кореи, против как минимум пяти американских медицинских работников. Согласно обвинительному заключению, поданному в федеральный суд Канзаса , одно из таких учреждений, больница в Канзасе, в 2021 году потеряла доступ к серверу рентгеновских снимков и других диагностических изображений из-за атаки с использованием программы-вымогателя, предположительно организованной Римом, и была вынуждена отменить приём пациентов.
Американские прокуроры утверждают, что Рим использовал выкупы, полученные от американских медицинских учреждений, для финансирования атак на как минимум 11 федеральных агентств и оборонных подрядчиков. Целью этих атак был сбор информации, представляющей интерес для северокорейского режима, и получение материалов о ракетных технологиях, беспилотниках и разработке расщепляющихся материалов.
Согласно обвинительному заключению, в ходе операции были успешно взломаны и похищены данные из НАСА, неназванных оборонных компаний в Калифорнии, Мичигане и Массачусетсе, а также с двух баз ВВС США в Техасе и Джорджии. В ходе операции также были взломаны и похищены данные оборонных подрядчиков на Тайване и в Южной Корее, а также китайской энергетической компании.
В ходе операций против южнокорейских оборонных подрядчиков северокорейским хакерам, возможно, удалось получить данные о зенитном лазерном оружии.
«Эти действия приносят симбиотическую пользу», — заявил журналистам в четверг высокопоставленный сотрудник ФБР на условиях анонимности. «Без возможности проводить государственные операции по борьбе с программами-вымогателями и получать выплаты, другим кибероперациям, проводимым КНДР, было бы сложно продолжаться».
В четверг Государственный департамент объявил , что выплатит вознаграждение в 10 миллионов долларов за информацию о Rim и хакерской группе Andariel.
Высокопоставленный представитель Министерства юстиции США заявил, что власти США нарушили работу ряда аккаунтов, связанных с инфраструктурой, которая использовалась для проведения северокорейской операции, и отметил, что расследование и пресечение атаки стали возможны только благодаря тому, что больница в Канзасе, подвергшаяся атаке, связалась со следователями ФБР и сотрудничала с ними.
Согласно совместному информационному бюллетеню по кибербезопасности, опубликованному в четверг одновременно с обвинительным заключением, северокорейская хакерская операция, связанная с группой внутри военного разведывательного подразделения страны, использует специальные инструменты и вредоносное ПО для выполнения своей работы.
В информационном бюллетене, опубликованном американскими агентствами по кибербезопасности совместно с коллегами из Южной Кореи и Соединенного Королевства, отмечается, что группировка перешла от осуществления разрушительных атак на Соединенные Штаты и Южную Корею к проведению специализированных операций по использованию программ-вымогателей и шпионажу.
Описание в сообщении информации, на которую нацелилась группа, напоминает список пожеланий для северокорейских военных: истребители и беспилотные летательные аппараты, радиолокационные системы, переработка и обогащение урана, а также тяжелые и легкие танки и другие цели.
В опубликованном в четверг сообщении в блоге Microsoft говорится, что компания впервые обнаружила эту группу в 2014 году и что её способность разрабатывать набор инструментов и добавлять к ним функции делает её постоянной угрозой. Исторически группа использовала фишинг для осуществления своих операций, но теперь, по данным Microsoft, она склонна использовать в своих атаках недавно обнаруженные и неисправленные уязвимости, включая уязвимость TeamCity , обнаруженную в прошлом году.
В знак признания постоянной активности группы компания Google в четверг включила хакерскую команду в список угроз высшего уровня, окрестив северокорейскую организацию APT45.
«APT45 имеет историю атак на правительственные и оборонные компании по всему миру, но это обвинительное заключение показывает, что северокорейские группировки также представляют серьезную угрозу повседневной жизни граждан и их нельзя игнорировать или игнорировать», — заявил Майкл Барнхарт, главный аналитик Mandiant.
«Их нападения на больницы с целью получения дохода и финансирования своей деятельности демонстрируют постоянную сосредоточенность на выполнении своей приоритетной миссии по сбору разведывательной информации, независимо от возможных последствий для человеческих жизней», — сказал он.
Рим Чон Хёк обвиняется в использовании вредоносного ПО, разработанного военной разведкой Северной Кореи, против как минимум пяти американских медицинских работников. Согласно обвинительному заключению, поданному в федеральный суд Канзаса , одно из таких учреждений, больница в Канзасе, в 2021 году потеряла доступ к серверу рентгеновских снимков и других диагностических изображений из-за атаки с использованием программы-вымогателя, предположительно организованной Римом, и была вынуждена отменить приём пациентов.
Американские прокуроры утверждают, что Рим использовал выкупы, полученные от американских медицинских учреждений, для финансирования атак на как минимум 11 федеральных агентств и оборонных подрядчиков. Целью этих атак был сбор информации, представляющей интерес для северокорейского режима, и получение материалов о ракетных технологиях, беспилотниках и разработке расщепляющихся материалов.
Согласно обвинительному заключению, в ходе операции были успешно взломаны и похищены данные из НАСА, неназванных оборонных компаний в Калифорнии, Мичигане и Массачусетсе, а также с двух баз ВВС США в Техасе и Джорджии. В ходе операции также были взломаны и похищены данные оборонных подрядчиков на Тайване и в Южной Корее, а также китайской энергетической компании.
В ходе операций против южнокорейских оборонных подрядчиков северокорейским хакерам, возможно, удалось получить данные о зенитном лазерном оружии.
«Эти действия приносят симбиотическую пользу», — заявил журналистам в четверг высокопоставленный сотрудник ФБР на условиях анонимности. «Без возможности проводить государственные операции по борьбе с программами-вымогателями и получать выплаты, другим кибероперациям, проводимым КНДР, было бы сложно продолжаться».
В четверг Государственный департамент объявил , что выплатит вознаграждение в 10 миллионов долларов за информацию о Rim и хакерской группе Andariel.
Высокопоставленный представитель Министерства юстиции США заявил, что власти США нарушили работу ряда аккаунтов, связанных с инфраструктурой, которая использовалась для проведения северокорейской операции, и отметил, что расследование и пресечение атаки стали возможны только благодаря тому, что больница в Канзасе, подвергшаяся атаке, связалась со следователями ФБР и сотрудничала с ними.
Согласно совместному информационному бюллетеню по кибербезопасности, опубликованному в четверг одновременно с обвинительным заключением, северокорейская хакерская операция, связанная с группой внутри военного разведывательного подразделения страны, использует специальные инструменты и вредоносное ПО для выполнения своей работы.
В информационном бюллетене, опубликованном американскими агентствами по кибербезопасности совместно с коллегами из Южной Кореи и Соединенного Королевства, отмечается, что группировка перешла от осуществления разрушительных атак на Соединенные Штаты и Южную Корею к проведению специализированных операций по использованию программ-вымогателей и шпионажу.
Описание в сообщении информации, на которую нацелилась группа, напоминает список пожеланий для северокорейских военных: истребители и беспилотные летательные аппараты, радиолокационные системы, переработка и обогащение урана, а также тяжелые и легкие танки и другие цели.
В опубликованном в четверг сообщении в блоге Microsoft говорится, что компания впервые обнаружила эту группу в 2014 году и что её способность разрабатывать набор инструментов и добавлять к ним функции делает её постоянной угрозой. Исторически группа использовала фишинг для осуществления своих операций, но теперь, по данным Microsoft, она склонна использовать в своих атаках недавно обнаруженные и неисправленные уязвимости, включая уязвимость TeamCity , обнаруженную в прошлом году.
В знак признания постоянной активности группы компания Google в четверг включила хакерскую команду в список угроз высшего уровня, окрестив северокорейскую организацию APT45.
«APT45 имеет историю атак на правительственные и оборонные компании по всему миру, но это обвинительное заключение показывает, что северокорейские группировки также представляют серьезную угрозу повседневной жизни граждан и их нельзя игнорировать или игнорировать», — заявил Майкл Барнхарт, главный аналитик Mandiant.
«Их нападения на больницы с целью получения дохода и финансирования своей деятельности демонстрируют постоянную сосредоточенность на выполнении своей приоритетной миссии по сбору разведывательной информации, независимо от возможных последствий для человеческих жизней», — сказал он.
