El Tesoro de EE. UU. Sanciona a los grupos cibernéticos maliciosos patrocinados por el estado norcoreano

Hoy el Departamento del Tesoro de los Estados UnidosLa Oficina de Control de Activos Extranjeros (OFAC) anunció sanciones contra tres grupos cibernéticos maliciosos patrocinados por el estado norcoreano responsables de Corea del NorteActividad cibernética maliciosa en la infraestructura crítica. Las acciones de hoy identifican a los grupos de piratas informáticos norcoreanos comúnmente conocidos dentro de la industria privada de la seguridad cibernética global como "Lazarus Group", "Bluenoroff" y "Andariel" como agencias, instrumentalidades o entidades controladas del Gobierno de Corea del Norte de conformidad con la Orden Ejecutiva (EO ) 13722, basado en su relación con la Oficina General de Reconocimiento (RGB). Lazarus Group, Bluenoroff y Andariel están controlados por el RGB designado por Estados Unidos y las Naciones Unidas (ONU), que es la oficina de inteligencia principal de Corea del Norte.

“El Tesoro está tomando medidas contra los grupos de piratería de Corea del Norte que han estado perpetrando ciberataques para apoyar programas ilícitos de armas y misiles”, dijo Sigal Mandelker, subsecretario del Tesoro para Terrorismo e Inteligencia Financiera. "Continuaremos aplicando las sanciones existentes de Estados Unidos y la ONU contra Corea del Norte y trabajaremos con la comunidad internacional para mejorar la ciberseguridad de las redes financieras".

Actividad cibernética maliciosa de Lazarus Group, Bluenoroff y Andariel

Lazarus Group se dirige a instituciones como el gobierno, el ejército, las finanzas, la fabricación, la publicación, los medios de comunicación, el entretenimiento y las empresas de transporte marítimo internacionales, así como a la infraestructura crítica, utilizando tácticas como el ciberespionaje, el robo de datos, los atracos monetarios y las operaciones destructivas de malware. Creado por el gobierno de Corea del Norte ya en 2007, este grupo cibernético malicioso está subordinado al 110 ° Centro de Investigación, 3 ° Oficina de la RGB. La 3ª Oficina también se conoce como la 3ª Oficina de Vigilancia Técnica y es responsable de las operaciones cibernéticas de Corea del Norte. Además del papel de la RGB como la principal entidad responsable de las actividades cibernéticas maliciosas de Corea del Norte, la RGB también es la principal agencia de inteligencia de Corea del Norte y está involucrada en el comercio de armas de Corea del Norte. El RGB fue designado por la OFAC el 2 de enero de 2015 de conformidad con EO 13687 por ser una entidad controlada por el Gobierno de Corea del Norte. El RGB también se incluyó en el anexo de EO 13551 el 30 de agosto de 2010. La ONU también designó al RGB el 2 de marzo de 2016.

Lazarus Group estuvo involucrado en el destructivo ataque de ransomware WannaCry 2.0 que Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido atribuyeron públicamente a Corea del Norte en diciembre de 2017. Dinamarca y Japón emitieron declaraciones de apoyo y varias empresas estadounidenses tomaron medidas independientes para interrumpir la actividad cibernética de Corea del Norte. WannaCry afectó al menos a 150 países de todo el mundo y apagó aproximadamente trescientas mil computadoras. Entre las víctimas identificadas públicamente se encontraba el Servicio Nacional de Salud (NHS) del Reino Unido (Reino Unido). Aproximadamente un tercio de los hospitales de atención secundaria del Reino Unido (hospitales que brindan unidades de cuidados intensivos y otros servicios de emergencia) y el ocho por ciento de las prácticas médicas generales en el Reino Unido fueron paralizados por el ataque de ransomware, lo que provocó la cancelación de más de 19,000 citas y, en última instancia, costó el NHS más de $ 112 millones, lo que lo convierte en el mayor brote de ransomware conocido en la historia. Lazarus Group también fue directamente responsable de los conocidos ciberataques de 2014 de Sony Pictures Entertainment (SPE).

También se designan hoy dos subgrupos de Lazarus Group, el primero de los cuales se conoce como Bluenoroff por muchas empresas de seguridad privada. Bluenoroff fue formado por el gobierno de Corea del Norte para obtener ingresos ilícitos en respuesta al aumento de las sanciones globales. Bluenoroff lleva a cabo actividades cibernéticas maliciosas en forma de atracos cibernéticos contra instituciones financieras extranjeras en nombre del régimen de Corea del Norte para generar ingresos, en parte, para sus crecientes programas de armas nucleares y misiles balísticos. Las empresas de ciberseguridad notaron este grupo por primera vez en 2014, cuando los esfuerzos cibernéticos de Corea del Norte comenzaron a centrarse en la ganancia financiera además de obtener información militar, desestabilizar redes o intimidar a los adversarios. Según informes de la industria y la prensa, en 2018, Bluenoroff había intentado robar más de $ 1.1 mil millones de dólares de instituciones financieras y, según informes de prensa, había llevado a cabo con éxito operaciones de este tipo contra bancos en Bangladesh, India, México, Pakistán, Filipinas, Corea del Sur. , Taiwán, Turquía, Chile y Vietnam.

Según las firmas de seguridad cibernética, generalmente a través de phishing e intrusiones de puerta trasera, Bluenoroff llevó a cabo operaciones exitosas dirigidas a más de 16 organizaciones en 11 países, incluido el sistema de mensajería SWIFT, instituciones financieras e intercambios de criptomonedas. En una de las actividades cibernéticas más notorias de Bluenoroff, el grupo de piratería trabajó conjuntamente con Lazarus Group para robar aproximadamente $ 80 millones de dólares de la cuenta de la Reserva Federal de Nueva York del Banco Central de Bangladesh. Aprovechando malware similar al visto en el ataque cibernético SPE, Bluenoroff y Lazarus Group realizaron más de 36 solicitudes de transferencia de fondos grandes utilizando credenciales SWIFT robadas en un intento de robar un total de $ 851 millones antes de que un error tipográfico alertara al personal para evitar que los fondos adicionales siendo robado.

El segundo subgrupo del Grupo Lázaro designado hoy es Andariel. Se centra en realizar operaciones cibernéticas maliciosas en empresas extranjeras, agencias gubernamentales, infraestructura de servicios financieros, corporaciones privadas y negocios, así como en la industria de defensa. Las empresas de ciberseguridad notaron a Andariel por primera vez alrededor de 2015, e informaron que Andariel ejecuta constantemente el ciberdelito para generar ingresos y se dirige al gobierno y la infraestructura de Corea del Sur para recopilar información y crear desorden.

Específicamente, Andariel fue observado por firmas de seguridad cibernética que intentaban robar información de tarjetas bancarias pirateando cajeros automáticos para retirar efectivo o robar información de clientes para luego vender en el mercado negro. Andariel también es responsable de desarrollar y crear malware único para piratear sitios de póquer y apuestas en línea para robar dinero en efectivo.
Según informes de la industria y la prensa, más allá de sus esfuerzos criminales, Andariel continúa llevando a cabo actividades cibernéticas maliciosas contra el personal del gobierno de Corea del Sur y el ejército de Corea del Sur en un esfuerzo por recopilar inteligencia. Un caso detectado en septiembre de 2016 fue una intrusión cibernética en la computadora personal del Ministro de Defensa de Corea del Sur en el cargo en ese momento y en la intranet del Ministerio de Defensa para extraer inteligencia de operaciones militares.

Además de las actividades cibernéticas maliciosas en las instituciones financieras convencionales, los gobiernos extranjeros, las principales empresas y la infraestructura, las operaciones cibernéticas de Corea del Norte también se dirigen a los proveedores de activos virtuales y los intercambios de criptomonedas para ayudar posiblemente a ofuscar los flujos de ingresos y los robos cibernéticos que también financian potencialmente a Corea del Norte. Programas de armas de destrucción masiva y misiles balísticos. Según informes de la industria y la prensa, estos tres grupos de piratería patrocinados por el estado probablemente robaron alrededor de $ 571 millones solo en criptomonedas, de cinco intercambios en Asia entre enero de 2017 y septiembre de 2018.

Esfuerzos del gobierno de EE. UU. Para combatir las amenazas cibernéticas de Corea del Norte

Por separado, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) y el Comando Cibernético de Estados Unidos (USCYBERCOM) han trabajado en conjunto en los últimos meses para divulgar muestras de malware a la industria de la ciberseguridad privada, varias de las cuales se atribuyeron más tarde a los ciber actores de Corea del Norte. , como parte de un esfuerzo continuo para proteger el sistema financiero de EE. UU. y otra infraestructura crítica, así como para tener el mayor impacto en la mejora de la seguridad global. Esto, junto con la acción de la OFAC de hoy, es un ejemplo de un enfoque de todo el gobierno para defender y proteger contra una creciente amenaza cibernética de Corea del Norte y es un paso más en la visión de participación persistente establecida por USCYBERCOM.

Como resultado de la acción de hoy, todas las propiedades e intereses en la propiedad de estas entidades y de cualquier entidad que sea propiedad, directa o indirectamente, del 50 por ciento o más de las entidades designadas, que se encuentren en los Estados Unidos o en posesión o control. de las personas estadounidenses están bloqueadas y deben informarse a la OFAC. Las regulaciones de la OFAC generalmente prohíben todas las transacciones de personas estadounidenses o dentro (o en tránsito) de los Estados Unidos que involucren cualquier propiedad o interés en la propiedad de personas bloqueadas o designadas.

Además, las personas que participan en ciertas transacciones con las entidades designadas hoy pueden estar expuestas a la designación. Además, cualquier institución financiera extranjera que facilite a sabiendas una transacción importante o proporcione servicios financieros importantes para cualquiera de las entidades designadas hoy podría estar sujeta a una cuenta corresponsal de los EE. UU. O sanciones por pagar.