圈小蛙
美国司法部周四起诉了一名朝鲜公民,指控他对美国国内的医院和医疗保健提供商、美国国防公司、美国国家航空航天局(NASA)甚至中国目标发动了一系列勒索软件攻击。
起诉书[PDF]称Rim Jong Hyok参与了“黑客攻击和勒索美国医院和其他医疗服务提供商的阴谋,清洗赎金收益,然后利用这些收益资助对全球国防、技术和政府实体的其他计算机入侵。”
据称,Rim使用了朝鲜最高军事情报机构——侦察总局(RGB)开发的恶意软件。起诉书称,该机构下属的一个网络部门被命名为Andariel、Onyx Sleet和Silent Chollima。据了解,Andariel以ERP系统为目标,Onyx Sleet针对DevOps环境,而Silent Chollima则与Maui勒索软件的部署有关。
据说,Rim参与了针对包括8家美国医疗机构在内的目标的恶意软件部署。Andariel还设法从美国国家航空航天局监察长办公室、四家美国国防公司和两个美国空军基地窃取了数据。
该团伙还对其他国家发动网络攻击。起诉书提到,两家韩国国防公司和一家韩国制造商成为目标。甚至一家中国能源公司也成为目标——这很奇怪,因为朝鲜依赖中国提供赞助和资源。
起诉书称,被告在中国清洗赎金(洗钱),然后用所得资金购买基础设施,用于在世界各地实施更多网络抢劫——包括上文提到的渗透攻击。
美国司法部和联邦调查局宣布,他们已经截获了“勒索软件攻击和相关洗钱交易中获得的约11.4万美元的虚拟货币收益”,并查封了此案同谋使用的在线账户。
但他们无法抓获Rim——他的下落和目前的身份都不得而知。山姆大叔悬赏1000万美元,征集线索,以便当局追踪到他。
微软和Mandiant参与调查
在起诉书披露的同一天,微软和Mandiant发布了各自对Andariel如何做坏事的看法。
微软认为,该团伙自2014年以来一直在行动,并使用“大量的定制工具和恶意软件”,而且还在不断改进。
据微软估计,“Onyx Sleet能够开发一系列工具来启动其屡试不爽的攻击链,这使其成为一个持续威胁,特别是对朝鲜情报部门感兴趣的目标,如国防、工程和能源部门的组织”。
其武器库包括:名为LightHand和BlackRAT的定制后门,允许在远程目标设备上执行命令。该团伙还开发定制恶意软件,例如今年5月部署的针对韩国组织的Dora RAT恶意软件。
除了定制工具之外,该团伙还将存在如Log4J漏洞和Atlassian的Confluence不当授权漏洞等众所周知的问题的目标作为攻击目标。
Mandiant使用“APT45”这个名称来描述该组织,声称该团伙自2009年以来一直活跃,并指出其报告的一些攻击行为与臭名昭著的Lazarus Group有关。
Mandiant声称:“APT45及疑似与该组织有关的活动集群,与独特谱系密切相关,不同于TEMP.Hermit和APT43等朝鲜同行恶意软件家族”,并指出该组织是朝鲜最常观察到的针对关键基础设施实施攻击的组织。
该起诉书是向美国堪萨斯州地方法院提交的,这表明堪萨斯医院是第一个被点名的受害者这一事实。
“虽然朝鲜利用此类网络犯罪来规避国际制裁,并为其政治和军事野心提供资金,但这些肆无忌惮的行为对堪萨斯州公民造成了直接影响,”联邦调查局堪萨斯城外勤办事处特工负责人斯蒂芬·赛勒斯(Stephen A Cyrus)在一段预先准备好的引言中表示。“这些行为使我们的家人无法获得所需的医疗保健,减缓了我们第一响应者的响应速度,危及了我们的关键基础设施,并最终通过支付赎金、损失生产力以及在网络攻击后重建网络所花费的金钱,使堪萨斯人付出了代价。”
赛勒斯补充说,周四公布的指控“证明这些网络攻击者不能逍遥法外,针对堪萨斯州和美国其他地区公民的恶意行为将产生严重后果。”
鉴于无法找到Rim,审判不会产生任何后果。更重要的是,Mandiant和微软都认为Andariel仍具有掠夺能力。