Heute ist die US-Abteilung des SchatzamtesDas Office of Foreign Assets Control (OFAC) kündigte Sanktionen gegen drei staatlich geförderte böswillige Cybergruppen in Nordkorea an, die dafür verantwortlich sind Nordkoreaböswillige Cyber-Aktivitäten in kritischen Infrastrukturen. Die heutigen Maßnahmen identifizieren nordkoreanische Hacking-Gruppen, die in der globalen Cyber-Sicherheits-Privatindustrie allgemein als "Lazarus Group", "Bluenoroff" und "Andariel" bekannt sind, als Agenturen, Instrumente oder kontrollierte Einheiten der Regierung Nordkoreas gemäß Executive Order (EO) ) 13722, basierend auf ihrer Beziehung zum Reconnaissance General Bureau (RGB). Die Lazarus Group, Bluenoroff und Andariel werden vom von den USA und den Vereinten Nationen (UN) benannten RGB kontrolliert, dem wichtigsten Geheimdienstbüro Nordkoreas.
"Das Finanzministerium geht gegen nordkoreanische Hacking-Gruppen vor, die Cyber-Angriffe durchgeführt haben, um illegale Waffen- und Raketenprogramme zu unterstützen", sagte Sigal Mandelker, Finanzminister für Terrorismus und Finanzinformationen. "Wir werden weiterhin bestehende Sanktionen der USA und der Vereinten Nationen gegen Nordkorea durchsetzen und mit der internationalen Gemeinschaft zusammenarbeiten, um die Cybersicherheit von Finanznetzwerken zu verbessern."
Bösartige Cyberaktivität von Lazarus Group, Bluenoroff und Andariel
Die Lazarus Group zielt mit Institutionen wie Cyberspionage, Datendiebstahl, Geldraub und destruktiven Malware-Operationen auf Institutionen wie Regierungs-, Militär-, Finanz-, Fertigungs-, Verlags-, Medien-, Unterhaltungs- und internationale Schifffahrtsunternehmen sowie auf kritische Infrastrukturen ab. Diese böswillige Cyber-Gruppe wurde bereits 2007 von der nordkoreanischen Regierung gegründet und untersteht dem 110. Forschungszentrum, 3. Büro des RGB. Das 3. Büro ist auch als 3. Technisches Überwachungsbüro bekannt und für die Cyber-Operationen in Nordkorea verantwortlich. Neben der Rolle des RGB als Hauptverantwortlicher für die böswilligen Cyberaktivitäten Nordkoreas ist das RGB auch der wichtigste nordkoreanische Geheimdienst und am Handel mit nordkoreanischen Waffen beteiligt. Das RGB wurde vom OFAC am 2. Januar 2015 gemäß EO 13687 als kontrollierte Einheit der nordkoreanischen Regierung benannt. Das RGB wurde am 13551. August 30 auch im Anhang zu EO 2010 aufgeführt. Die Vereinten Nationen haben das RGB am 2. März 2016 ebenfalls benannt.
Die Lazarus Group war an dem zerstörerischen WannaCry 2.0-Ransomware-Angriff beteiligt, den die USA, Australien, Kanada, Neuseeland und das Vereinigte Königreich Nordkorea im Dezember 2017 öffentlich zuschrieben. Dänemark und Japan gaben unterstützende Erklärungen ab, und mehrere US-Unternehmen ergriffen unabhängige Maßnahmen, um sie zu stören die nordkoreanische Cyberaktivität. WannaCry betraf mindestens 150 Länder auf der ganzen Welt und schaltete ungefähr dreihunderttausend Computer aus. Unter den öffentlich identifizierten Opfern befand sich der National Health Service (NHS) des Vereinigten Königreichs. Ungefähr ein Drittel der Sekundärkrankenhäuser in Großbritannien - Krankenhäuser, die Intensivstationen und andere Rettungsdienste anbieten - und acht Prozent der Allgemeinmediziner in Großbritannien waren durch den Ransomware-Angriff verkrüppelt, was zur Absage von mehr als 19,000 Terminen und letztendlich zu Kosten führte Der NHS hat über 112 Millionen US-Dollar und damit den größten bekannten Ransomware-Ausbruch in der Geschichte. Die Lazarus Group war auch direkt für die bekannten Cyber-Angriffe von Sony Pictures Entertainment (SPE) im Jahr 2014 verantwortlich.
Heute werden auch zwei Untergruppen der Lazarus-Gruppe benannt, von denen die erste von vielen privaten Sicherheitsfirmen als Bluenoroff bezeichnet wird. Bluenoroff wurde von der nordkoreanischen Regierung gegründet, um als Reaktion auf die zunehmenden globalen Sanktionen illegal Einnahmen zu erzielen. Bluenoroff führt im Auftrag des nordkoreanischen Regimes böswillige Cyberaktivitäten in Form von Cyber-fähigen Überfällen gegen ausländische Finanzinstitute durch, um teilweise Einnahmen für seine wachsenden Programme für Atomwaffen und ballistische Raketen zu erzielen. Cybersicherheitsunternehmen bemerkten diese Gruppe bereits 2014, als sich Nordkoreas Cyberbemühungen neben der Beschaffung militärischer Informationen, der Destabilisierung von Netzwerken oder der Einschüchterung von Gegnern auf finanzielle Gewinne konzentrierten. Laut Branchen- und Presseberichten hatte Bluenoroff bis 2018 versucht, über 1.1 Milliarden Dollar von Finanzinstituten zu stehlen, und laut Presseberichten solche Operationen erfolgreich gegen Banken in Bangladesch, Indien, Mexiko, Pakistan, den Philippinen und Südkorea durchgeführt , Taiwan, Türkei, Chile und Vietnam.
Laut Cyber-Sicherheitsfirmen führte Bluenoroff in der Regel durch Phishing- und Backdoor-Eingriffe erfolgreiche Operationen durch, die auf mehr als 16 Organisationen in 11 Ländern abzielten, darunter das SWIFT-Messaging-System, Finanzinstitute und Kryptowährungsbörsen. Bei einer der berüchtigtsten Cyber-Aktivitäten von Bluenoroff arbeitete die Hacking-Gruppe gemeinsam mit der Lazarus Group daran, rund 80 Millionen Dollar vom Konto der New York Federal Reserve der Zentralbank von Bangladesch zu stehlen. Durch die Nutzung von Malware, die der des SPE-Cyberangriffs ähnelt, stellten Bluenoroff und Lazarus Group über 36 große Geldtransferanfragen mit gestohlenen SWIFT-Anmeldeinformationen, um insgesamt 851 Millionen US-Dollar zu stehlen, bevor ein Tippfehler das Personal alarmierte, um die zusätzlichen Mittel zu verhindern gestohlen werden.
Die zweite heute benannte Untergruppe der Lazarus-Gruppe ist Andariel. Es konzentriert sich auf die Durchführung böswilliger Cyber-Operationen in ausländischen Unternehmen, Regierungsbehörden, Finanzdienstleistungsinfrastrukturen, privaten Unternehmen und Unternehmen sowie in der Verteidigungsindustrie. Cybersecurity-Unternehmen bemerkten Andariel zum ersten Mal um 2015 und berichteten, dass Andariel Cyberkriminalität konsequent durchführt, um Einnahmen zu generieren und die südkoreanische Regierung und Infrastruktur zu erreichen, um Informationen zu sammeln und Unordnung zu schaffen.
Insbesondere wurde Andariel von Cyber-Sicherheitsfirmen beobachtet, die versuchten, Bankkarteninformationen zu stehlen, indem sie sich in Geldautomaten hackten, um Bargeld abzuheben oder Kundeninformationen zu stehlen, um sie später auf dem Schwarzmarkt zu verkaufen. Andariel ist auch verantwortlich für die Entwicklung und Erstellung einzigartiger Malware, um sich in Online-Poker- und Glücksspielseiten zu hacken und Geld zu stehlen.
Laut Branchen- und Presseberichten führt Andariel über seine kriminellen Bemühungen hinaus weiterhin böswillige Cyberaktivitäten gegen südkoreanische Regierungsmitarbeiter und das südkoreanische Militär durch, um Informationen zu sammeln. Ein im September 2016 entdeckter Fall war ein Cyber-Eingriff in den Personal Computer des damals amtierenden südkoreanischen Verteidigungsministers und in das Intranet des Verteidigungsministeriums, um Informationen über militärische Operationen zu extrahieren.
Neben böswilligen Cyber-Aktivitäten bei konventionellen Finanzinstituten, ausländischen Regierungen, großen Unternehmen und Infrastrukturen zielen die Cyber-Aktivitäten Nordkoreas auch auf Anbieter virtueller Vermögenswerte und den Austausch von Kryptowährungen ab, um möglicherweise die Verschleierung von Einnahmequellen und Cyber-fähigen Diebstählen zu unterstützen, die möglicherweise auch Nordkoreas finanzieren Programme für Massenvernichtungswaffen und ballistische Raketen. Laut Branchen- und Presseberichten haben diese drei staatlich geförderten Hacking-Gruppen zwischen Januar 571 und September 2017 wahrscheinlich allein an fünf Börsen in Asien rund 2018 Millionen US-Dollar an Kryptowährung gestohlen.
Bemühungen der US-Regierung zur Bekämpfung nordkoreanischer Cyber-Bedrohungen
Unabhängig davon haben die Cybersecurity and Infrastructure Security Agency (CISA) und das US Cyber Command (USCYBERCOM) des US-amerikanischen Heimatschutzministeriums in den letzten Monaten zusammengearbeitet, um Malware-Beispiele an die private Cybersecurity-Branche weiterzugeben, von denen einige später nordkoreanischen Cyber-Akteuren zugeschrieben wurden im Rahmen der laufenden Bemühungen, das US-Finanzsystem und andere kritische Infrastrukturen zu schützen und den größten Einfluss auf die Verbesserung der globalen Sicherheit zu haben. Dies ist zusammen mit der heutigen OFAC-Aktion ein Beispiel für einen regierungsweiten Ansatz zur Verteidigung und zum Schutz vor einer zunehmenden Bedrohung durch das nordkoreanische Internet und ein weiterer Schritt in der von USCYBERCOM festgelegten Vision eines anhaltenden Engagements.
Infolge der heutigen Maßnahmen sind alle Vermögenswerte und Eigentumsanteile dieser Unternehmen sowie aller Unternehmen, die direkt oder indirekt zu 50 Prozent oder mehr im Besitz der benannten Unternehmen sind, die sich in den USA befinden oder im Besitz oder unter der Kontrolle sind von US-Personen sind gesperrt und müssen OFAC gemeldet werden. Die OFAC-Bestimmungen verbieten im Allgemeinen alle Geschäfte von US-Personen oder innerhalb (oder im Transit) der Vereinigten Staaten, die Eigentum oder Interessen an Eigentum blockierter oder benannter Personen betreffen.
Darüber hinaus können Personen, die bestimmte Transaktionen mit den heute bezeichneten Unternehmen tätigen, selbst einer Benennung ausgesetzt sein. Darüber hinaus kann jedes ausländische Finanzinstitut, das wissentlich eine bedeutende Transaktion erleichtert oder bedeutende Finanzdienstleistungen für eines der heute bezeichneten Unternehmen erbringt, einem US-Korrespondenzkonto oder Sanktionen gegen Zahlung unterliegen.
