Le Trésor américain sanctionne les cyber-groupes malveillants parrainés par l'État nord-coréen

Le Trésor américain sanctionne les cyber-groupes malveillants parrainés par l'État nord-coréen

Aujourd'hui, le Département du Trésor des États-UnisL'Office of Foreign Assets Control (OFAC) a annoncé des sanctions visant trois cyber-groupes malveillants parrainés par l'État nord-coréen et responsables de Corée du Nordcyberactivité malveillante sur les infrastructures critiques. Les actions menées aujourd'hui identifient les groupes de piratage nord-coréens communément connus dans le secteur privé mondial de la cybersécurité sous le nom de «Lazarus Group», «Bluenoroff» et «Andariel» comme des agences, des instruments ou des entités contrôlées du gouvernement de la Corée du Nord conformément au décret (EO ) 13722, sur la base de leurs relations avec le Bureau général de reconnaissance (RGB). Lazarus Group, Bluenoroff et Andariel sont contrôlés par le RGB désigné par les États-Unis et les Nations Unies (ONU), qui est le principal bureau de renseignement de la Corée du Nord.

«Le Trésor prend des mesures contre les groupes de piratage nord-coréens qui ont perpétré des cyberattaques pour soutenir des programmes d'armes et de missiles illicites», a déclaré Sigal Mandelker, sous-secrétaire au Trésor pour le terrorisme et le renseignement financier. «Nous continuerons d'appliquer les sanctions américaines et onusiennes existantes contre la Corée du Nord et travaillerons avec la communauté internationale pour améliorer la cybersécurité des réseaux financiers.»

Cyberactivité malveillante par Lazarus Group, Bluenoroff et Andariel

Le groupe Lazarus cible des institutions telles que le gouvernement, l'armée, la finance, la fabrication, l'édition, les médias, le divertissement et les compagnies maritimes internationales, ainsi que les infrastructures critiques, en utilisant des tactiques telles que le cyberespionnage, le vol de données, les braquages ​​monétaires et les opérations malveillantes destructrices. Créé par le gouvernement nord-coréen dès 2007, ce cyber-groupe malveillant est subordonné au 110e centre de recherche, 3e bureau du RGB. Le 3e Bureau est également connu sous le nom de 3e Bureau de surveillance technique et est responsable des cyberopérations de la Corée du Nord. Outre le rôle de RGB en tant que principale entité responsable des cyber-activités malveillantes de la Corée du Nord, le RGB est également la principale agence de renseignement nord-coréenne et est impliqué dans le commerce des armes nord-coréennes. Le RVB a été désigné par l'OFAC le 2 janvier 2015 conformément à l'OE 13687 comme entité contrôlée du gouvernement de la Corée du Nord. Le RVB a également été répertorié dans l'annexe à l'OE 13551 le 30 août 2010. L'ONU a également désigné le RVB le 2 mars 2016.

Lazarus Group a été impliqué dans l'attaque destructrice du ransomware WannaCry 2.0 que les États-Unis, l'Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni ont publiquement attribué à la Corée du Nord en décembre 2017. Le Danemark et le Japon ont publié des déclarations à l'appui et plusieurs entreprises américaines ont pris des mesures indépendantes pour perturber la cyberactivité nord-coréenne. WannaCry a touché au moins 150 pays à travers le monde et a fermé environ trois cent mille ordinateurs. Parmi les victimes publiquement identifiées figurait le National Health Service (NHS) du Royaume-Uni (UK). Environ un tiers des hôpitaux de soins secondaires du Royaume-Uni - des hôpitaux qui fournissent des unités de soins intensifs et d'autres services d'urgence - et huit pour cent des cabinets de médecine générale au Royaume-Uni ont été paralysés par l'attaque de ransomware, entraînant l'annulation de plus de 19,000 rendez-vous et coûtant en fin de compte le NHS plus de 112 millions de dollars, ce qui en fait la plus grande épidémie de ransomware connue de l'histoire. Lazarus Group était également directement responsable des cyber-attaques bien connues de Sony Pictures Entertainment (SPE) en 2014.

Sont également désignés aujourd'hui deux sous-groupes du groupe Lazarus, dont le premier est appelé Bluenoroff par de nombreuses sociétés de sécurité privées. Bluenoroff a été créé par le gouvernement nord-coréen pour générer des revenus illicites en réponse à des sanctions mondiales accrues. Bluenoroff mène une cyberactivité malveillante sous la forme de braquages ​​cyber-activés contre des institutions financières étrangères au nom du régime nord-coréen afin de générer des revenus, en partie, pour ses programmes croissants d'armes nucléaires et de missiles balistiques. Les entreprises de cybersécurité ont remarqué ce groupe pour la première fois dès 2014, lorsque les efforts cybernétiques de la Corée du Nord ont commencé à se concentrer sur le gain financier en plus d'obtenir des informations militaires, de déstabiliser les réseaux ou d'intimider les adversaires. Selon l'industrie et la presse, en 2018, Bluenoroff avait tenté de voler plus de 1.1 milliard de dollars aux institutions financières et, selon les rapports de presse, avait mené avec succès de telles opérations contre des banques au Bangladesh, en Inde, au Mexique, au Pakistan, aux Philippines et en Corée du Sud. , Taïwan, Turquie, Chili et Vietnam.

Selon les sociétés de cybersécurité, généralement par le biais de phishing et d'intrusions de porte dérobée, Bluenoroff a mené avec succès des opérations ciblant plus de 16 organisations dans 11 pays, y compris le système de messagerie SWIFT, les institutions financières et les échanges de crypto-monnaie. Dans l'une des activités cybernétiques les plus notoires de Bluenoroff, le groupe de piratage a travaillé conjointement avec Lazarus Group pour voler environ 80 millions de dollars sur le compte de la Réserve fédérale de New York de la Banque centrale du Bangladesh. En exploitant des logiciels malveillants similaires à ceux observés dans la cyberattaque SPE, Bluenoroff et Lazarus Group ont effectué plus de 36 demandes de transfert de fonds importantes en utilisant des informations d'identification SWIFT volées dans le but de voler un total de 851 millions de dollars avant qu'une erreur typographique n'alerte le personnel pour empêcher les fonds supplémentaires de être volé.

Le deuxième sous-groupe du Groupe Lazarus désigné aujourd'hui est Andariel. Il se concentre sur la conduite de cyberopérations malveillantes sur des entreprises étrangères, des agences gouvernementales, des infrastructures de services financiers, des sociétés privées et des entreprises, ainsi que sur l'industrie de la défense. Les entreprises de cybersécurité ont remarqué Andariel pour la première fois vers 2015 et ont rapporté qu'Andariel exécute systématiquement la cybercriminalité pour générer des revenus et cible le gouvernement et l'infrastructure de la Corée du Sud afin de collecter des informations et de créer des troubles.

Plus précisément, Andariel a été observé par des entreprises de cybersécurité tentant de voler des informations de carte bancaire en piratant des guichets automatiques pour retirer de l'argent ou voler des informations sur des clients pour les vendre plus tard sur le marché noir. Andariel est également responsable du développement et de la création de logiciels malveillants uniques pour pirater les sites de poker en ligne et de jeux d'argent pour voler de l'argent.
Selon l'industrie et la presse, au-delà de ses efforts criminels, Andariel continue de mener des cyber-activités malveillantes contre le personnel du gouvernement sud-coréen et l'armée sud-coréenne dans le but de recueillir des renseignements. Un cas repéré en septembre 2016 était une cyber-intrusion dans l'ordinateur personnel du ministre sud-coréen de la Défense en fonction à l'époque et sur l'intranet du ministère de la Défense afin d'extraire des renseignements sur les opérations militaires.

En plus des cyber-activités malveillantes sur les institutions financières conventionnelles, les gouvernements étrangers, les grandes entreprises et les infrastructures, les cyberopérations de la Corée du Nord ciblent également les fournisseurs d'actifs virtuels et les échanges de crypto-monnaie pour éventuellement aider à masquer les flux de revenus et les vols cybernétiques qui financent également potentiellement la Corée du Nord. Programmes d'ADM et de missiles balistiques. Selon les rapports de l'industrie et de la presse, ces trois groupes de piratage financés par l'État ont probablement volé environ 571 millions de dollars en crypto-monnaie uniquement, à cinq bourses en Asie entre janvier 2017 et septembre 2018.

Efforts du gouvernement américain pour lutter contre les cybermenaces nord-coréennes

Séparément, la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security (CISA) et l'US Cyber ​​Command (USCYBERCOM) ont travaillé en tandem ces derniers mois pour divulguer des échantillons de logiciels malveillants au secteur privé de la cybersécurité, dont plusieurs ont ensuite été attribués à des cyberacteurs nord-coréens. , dans le cadre d'un effort continu pour protéger le système financier américain et d'autres infrastructures essentielles et pour avoir le plus grand impact sur l'amélioration de la sécurité mondiale. Ceci, avec l'action de l'OFAC d'aujourd'hui, est un exemple d'approche à l'échelle du gouvernement pour défendre et se protéger contre une cyber-menace nord-coréenne croissante et constitue une étape de plus dans la vision d'engagement persistant énoncée par l'USCYBERCOM.

À la suite de l'action d'aujourd'hui, tous les biens et intérêts dans la propriété de ces entités, et de toute entité qui sont détenues, directement ou indirectement, à 50% ou plus par les entités désignées, qui sont aux États-Unis ou en possession ou contrôle des personnes américaines sont bloquées et doivent être signalées à l'OFAC. Les règlements de l'OFAC interdisent généralement toutes les transactions par des personnes américaines ou à l'intérieur (ou en transit) des États-Unis qui impliquent des biens ou des intérêts dans la propriété de personnes bloquées ou désignées.

De plus, les personnes qui s'engagent dans certaines transactions avec les entités désignées aujourd'hui peuvent elles-mêmes être exposées à la désignation. En outre, toute institution financière étrangère qui facilite sciemment une transaction importante ou fournit des services financiers importants à l'une des entités désignées aujourd'hui pourrait être soumise à des sanctions de compte de correspondant américain ou à payer par l'intermédiaire de la société.

A propos de l'auteure

Avatar du rédacteur en chef des affectations

Rédacteur en chef des affectations

Le rédacteur en chef des affectations est Oleg Siziakov

Partager à...