Specjaliści od cyberbezpieczeństwa nazwali tę grupę hakerów Anadriel lub APT45. Stanowi ona część Reconnaissance General Bureau – północnokoreańskiej agencji wywiadowczej. Jednostka ta naruszała systemy komputerowe wielu różnych firm zajmujących się technologiami wojskowymi, między innymi producentów czołgów, okrętów wojennych, okrętów podwodnych, myśliwców, a także systemów radarowych i rakietowych.
FBI i przedstawiciele Departamentu Sprawiedliwości USA poinformowali, że w samych Stanach Zjednoczonych hakerzy z APT45 próbowali wykraść dane z NASA, Randolph Air Force Base w Teksasie i Robins Air Force Base w Georgii.
Atak na NASA rozpoczął się w lutym 2022 r. Za sprawą złośliwego oprogramowania północnokoreańscy hakerzy zyskali dostęp do systemu komputerowego Agencji. Przez kolejne trzy miesiące pobrali z niego 17 gigabajtów danych.
„Agencje tworzące raport uważają, że grupa i techniki cybernetyczne pozostają ciągłym zagrożeniem dla różnych sektorów przemysłu na całym świecie, w tym między innymi dla podmiotów w ich krajach, a także w Japonii i Indiach” – podano we wspólnym komunikacie USA, Wielkiej Brytanii i Korei Południowej.
Nie były to pierwsze hakerskie ataki, jakich dopuściła się Korea Północna. Pozyskiwanie informacji wojskowych w ten sposób, to od dawna jedna z ulubionych metod działania agentur tego państwa.
Według USA koreańscy hakerzy atakowali też amerykańskie szpitale i placówki opieki zdrowotnej oprogramowaniem typu ransomware, które pozwalało im pozyskiwać środki pieniężne służące następnie do finansowania kolejnych operacji.
Amerykański Departament Sprawiedliwości oskarżył o spiskowanie jednego z podejrzanych, Rima Jong Hyoka. Zarzuca mu się między innymi udział we włamaniu do systemu szpitala w Kansas w maju 2021 r. Hakerzy zaszyfrowali wtedy cztery serwery szpitalne i zmusili władze szpitala do zapłaty okupu za ich odszyfrowanie.
Okup zapłacono, a środki trafiły do chińskiego banku. Następnie zostały wypłacone w bankomacie w Dandong, chińskim mieście niedaleko mostu łączącego ten kraj z północnokoreańskim Sinuiju.
Za informacje mogące doprowadzić do aresztowania Rima FBI zaoferowało nagrodę w wysokości 10 mln dolarów. Podejrzewa się, że oskarżony przebywa na terenie Korei Północnej.
Amerykańscy urzędnicy poinformowali, że udało im się przejąć część kont bankowych należących do hakerów. Środki w wysokości 600 tys. dolarów zostaną zwrócone ofiarom ataków ransomware.
„Globalna operacja cyberszpiegowska, którą dziś ujawniliśmy, pokazuje, jak daleko podmioty sponsorowane przez Koreę Północną są gotowe posunąć się, aby realizować swoje programy wojskowe i nuklearne” – powiedział Paul Chichester z brytyjskiego National Cyber Security Centre, części krajowej agencji szpiegowskiej GCHQ.
Przeczytaj także:
- Rosja, Chiny, Iran i Korea Północna – nowa oś zła
- W. Brytania/ Szef NCA: wrogie państwa, jak Rosja i Korea Północna posługują się u nas przestępczością zorganizowaną
W swoich działaniach grupa APT45 wykorzystała popularne techniki phishingowe i inne psychologiczne sztuczki, aby oszukać urzędników zatrudnionych w atakowanych firmach i organizacjach. Nieświadomi pracownicy wykonywali następnie działania, które umożliwiały hakerom uzyskanie dostępu do sieci.