Elite N.Koreansk hackergruppe bundet til bankangreb:forskere

En elitegruppe af nordkoreanske hackere er blevet identificeret som kilden til en bølge af cyberangreb på globale banker, der har indbragt "hundredevis af millioner" af dollars, Det sagde sikkerhedsforskere onsdag.

En rapport fra cybersikkerhedsfirmaet FireEye sagde, at den nyligt identificerede gruppe kaldet APT38 er adskilt fra, men forbundet med andre nordkoreanske hackingoperationer, og har til opgave at skaffe midler til det isolerede Pyongyang-regime.

FireEye-forskere sagde, at APT38 er en af ​​flere hackingceller i en paraplygruppe kendt som "Lazarus, " men med unikke færdigheder og værktøjer, der har hjulpet den med at udføre nogle af verdens største cybertyverier.

"De er en cyberkriminel gruppe med evnerne til en cyberspionagekampagne, " sagde Sandra Joyce, FireEyes vicepræsident for efterretningstjeneste, i en briefing med journalister i Washington.

Joyce sagde, at en af ​​kendetegnene ved APT38 er, at det tager flere måneder, nogle gange næsten to år, at trænge ind og lære dets måls virkemåde før dets angreb, som har søgt ulovligt at overføre mere end 1 milliard dollars fra ofre banker.

"De tager sig tid til at lære organisationens forviklinger, " sagde Joyce.

Når de først lykkes, tilføjede hun, "de implementerer destruktiv malware på vej ud" for at skjule deres spor og gøre det sværere for ofrene at finde ud af, hvad der skete.

Følelse af uopsættelighed

Joyce sagde, at FireEye besluttede at offentliggøre truslen ud fra en "følelse af, at det haster", fordi gruppen tilsyneladende stadig er i drift og er "uafskrækket af enhver diplomatisk indsats."

Gruppen har kompromitteret mere end 16 organisationer i mindst 11 forskellige lande siden mindst 2014, ifølge FireEye-rapporten.

Nogle af de kendte angreb var rettet mod Vietnam TP Bank i 2015, Bangladesh Bank i 2016, Far Eastern International Bank of Taiwan i 2017 og Bancomext of Mexico og Banco de Chile i 2018.

Joyce sagde, at gruppen ser ud til at have "omfanget og ressourcerne som en nationalstat", men tilbød ingen specifikke tal på, hvor mange mennesker den bruger.

Nalani Fraser, et medlem af FireEye-forskningsteamet, sagde APT38-angreb søgte mindst 1,1 milliarder dollars siden 2014 og har formået at stjæle "hundredevis af millioner af dollars baseret på data, som vi kan bekræfte."

FireEye sagde, at der ser ud til at være en vis deling af ressourcer mellem hackergrupper i Nordkorea, herunder dem, der er involveret i spionage og dem i andre former for angreb.

Fokuseret mission

Nogle af oplysningerne om APT38 blev afsløret i en amerikansk kriminel klage, der blev ophævet i sidste måned mod Park Jin Hyok, sigtet i forbindelse med WannaCry ransomware-udbrud og angrebet på Sony Pictures.

Men Park spillede sandsynligvis kun en perifer rolle i APT38, som "har en fokuseret mission om at stjæle penge for at finansiere det nordkoreanske regime, " ifølge Joyce.

FireEyes nye rapport var delvist baseret på retsmedicinske analyser, som den udførte for FBI i efterforskningen af ​​Park, men også fra andre data, sikkerhedsfirmaet har indsamlet fra sin globale kundebase.

Forskerne sagde, at APT38 brugte teknikker, herunder "phishing"-e-mails for at få adgang til legitimationsoplysninger og bruge "vandhuller" - kaprede websteder, der ser normale ud, men som indeholder malware, der gør det muligt for hackere at indsamle flere data og få adgang.

Som en del af ordningen, hackerne skabte falske identiteter i kendte ikke-statslige organisationer eller fonde for at hjælpe med at flytte de stjålne penge, i nogle tilfælde manipulation af det globale interbankoverførselssystem kendt som SWIFT.

Rapporten er den seneste, der fremhæver en omfattende og stadig mere sofistikeret cyberkampagne fra Nordkorea til både politiske og økonomiske formål.

I september, en 176-siders kriminel klage mod Park skitserede, hvad embedsmænd kaldte "et stort og dristig plan af den nordkoreanske regering for at bruge computerindtrængen som et middel til at støtte deres regimes forskellige mål."

På tirsdag, det amerikanske Department of Homeland Security advarede om, at Nordkorea sandsynligvis står bag malware, der bruges til at hacke sig ind i og stjæle penge fra bankkasser.

Bulletinen sagde, at embedsmænd mener, at "Hidden Cobra"-malwaren gjorde det muligt for Nordkorea ulovligt at få kontanter fra bankautomater i mindst 30 lande, hovedsageligt i Asien og Afrika, siden 2016.

© 2018 AFP