朝鲜黑客组织的活动不断加强,促使网络安全公司Mandiant将其升级为顶级黑客威胁,美国联邦调查局也对该组织发出警报。Mandiant公司和美国联邦调查局表示,这个朝鲜黑客组织长期以来一直试图获取有关国防和研发的情报,但后来扩展到其他目标。Mandiant分析认为,APT45是朝鲜历史最悠久的网络运营者之一,该组织的活动反映了朝鲜政权的地缘政治优先事项,尽管其行动已从针对政府和国防实体的传统网络间谍活动转向医疗保健和农作物科学。在情报收集的同时进行以经济为目的的活动已成为朝鲜网络行动的显著特征,预计APT45将继续执行这两项任务。随着朝鲜越来越依赖其网络行动作为国家权力的工具,APT45和其他朝鲜网络运营商开展的行动可能反映了该国优先事项的变化。
Mandiant在当地时间7月25日发布的一份报告中指出,新近被标记为APT45的组织已扩大其勒索软件行动——这在朝鲜组织中很少见——将目标转向医疗保健提供商、金融机构和能源公司。
美国联邦调查局计划在周四(7月25日)就黑客事件发布警告并召开新闻发布会。
APT45的主要意图
Mandiant之前将该组织称为Andariel或UNC614,并称该组织至少自2009年以来一直活跃。该公司注意到该组织的复杂程度不断提高,受害者数量不断增加,因此将其命名为”APT”(APT是“高级持续威胁”的缩写)。Mandiant表示,APT45支持朝鲜政府的利益。
Mandiant认为,与归因于与朝鲜有联系的其他网络威胁活动类似,APT45行动的变化反映了朝鲜不断变化的优先事项。恶意软件样本表明该组织早在2009年就已活跃,尽管从2017年开始观察到其将重点放在政府机构和国防工业上。2019年发现的活动与平壤对核问题和能源的持续关注相一致。虽然目前尚不清楚以经济为动机的行动是否是APT45目前的任务重点,但该组织与其他朝鲜运营商不同,它涉嫌对勒索软件感兴趣。根据现有信息,APT45进行以经济为动机的网络犯罪可能不仅是为了支持其自身的行动,也是为了为朝鲜的其他国家优先事项筹集资金。
主要攻击目标
APT45主要关注的目标包括几下几个方面:
金融部门:APT45将金融部门作为攻击目标,2016年可能利用RIFLE攻击了一家韩国金融机构,并在2021年被发现对一家南亚银行进行鱼叉式网络钓鱼。
关键基础设施:2019年,APT45直接针对了印度库丹库拉姆核电站等核研究设施和核电站,这是朝鲜针对关键基础设施的网络行动中少数公开已知的案例之一。
知识产权:2020年9月,APT45攻击了一家跨国公司的作物科学部门,这可能是因为COVID-19疫情导致的边境贸易关闭和农业生产恶化。
医疗保健和制药领域:2021年,随着朝鲜疑似爆发COVID-19疫情,APT45等与朝鲜有联系的黑客组织将重点放在了医疗保健和制药垂直领域。2023年对健康相关研究的持续兴趣表明,APT45将继续为相关目标分配资源。
使用的恶意软件
APT45依赖于多种公开可用的工具(例如3PROXY)、从公开可用的恶意软件(例如 ROGUEEYE)修改而来的恶意软件以及自定义恶意软件系列。与大多数朝鲜活动团体一样,APT45恶意软件随着时间的推移表现出明显的共同特征,包括代码的重复使用、独特的自定义编码和密码。APT45利用了与其他朝鲜活动集群相对不同的恶意软件工具库。
归因及关联
Mandiant高度确信APT45是受国家支持的网络运营者,其威胁活动旨在支持朝鲜政权。我们中等确信地认为APT45是朝鲜侦察总局 (RGB) 的直接下属机构。
Mandiant认为APT45发起的活动已被公开报告为“ Andariel ”、“ Onyx Sleet ”、“ Stonefly ”和“ Silent Chollima ”。该组织的活动也经常被报告为与“ Lazarus Group ”有关。
APT45的主要特点
通过Mandiant公司的谷歌云首席分析师Michael Barnhart 、Gary Freas对CyberScoop的分析,大致可经总结APT45的特点。
-
复杂性和隐蔽性:APT45的攻击手段越来越复杂,能够执行大规模、影响深远的网络行动,通常涉及数据泄露、勒索软件部署和复杂的间谍策略。
-
多样化的目标:APT45的攻击目标广泛,包括关键基础设施、战略行业、医疗保健和制药公司,以及金融机构等。
-
技术信息收集:APT45针对一系列技术信息进行攻击,从军事技术如坦克和无人机,到导弹防御系统和政府核设施。
-
支持政府利益:APT45被认为支持朝鲜政府的利益,其间谍活动为朝鲜军事能力的进展提供了支持。
-
经济动机:APT45的动机逐渐转向以经济为目的的行动,特别是在COVID-19疫情期间,专注于医疗保健和制药公司的攻击,可能与收集信息的任务有关。
-
勒索软件使用:APT45开始使用现成的勒索软件,对医疗机构等进行攻击,并要求支付赎金,显示出其行动也受到经济利益的驱动。
-
持续追踪与合作:Mandiant公司与FBI和其他政府机构合作追踪APT45的活动,显示出该组织已经引起了国际安全机构的高度关注。
-
长期活动历史:APT45至少自2009年以来一直活跃,其前身被称为Andariel或UNC614,显示了其长期的网络行动历史。
-
资金流向怀疑:尽管APT45通过攻击获得资金,但Mandiant怀疑这些资金可能被汇回朝鲜政权,表明其行动可能与国家层面的资助有关。
这并不是该黑客组织首次引起美国政府的关注。美国财政部外国资产控制办公室于2019年宣布对其实施制裁。该办公室指出,该黑客专注于针对企业和政府机构的行动,包括针对韩国政府、窃取银行卡信息和入侵在线赌博网站。
7月24日,美国联邦政府起诉朝鲜黑客林正赫,指控其参与对美国医院和医疗保健公司的勒索软件攻击。林正赫被认为是朝鲜情报机构侦察总局下属安达利尔部队的成员,使用Maui病毒在2021年和2022年发动多起攻击,影响医疗服务。
参考资源
1、https://cyberscoop.com/north-korean-hacking-group-makes-waves-to-gain-mandiant-fbi-spotlight/
2、https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine
3、https://therecord.media/us-indicts-north-korean-hacker-ransomware
原文始发于微信公众号(网空闲话plus):APT45轰动!FBI和Mandiant升级关注