朝鲜APT组织Hidden Cobra最新攻击活动报告
2020-05-29 11:10:00 Author: www.4hou.com(查看原文) 阅读量:449 收藏

导语:美国国务院、财政部、国土安全部和联邦调查局正在发布这一咨询文件,作为国际社会、网络维护者和公众对朝鲜网络威胁的全面调查文件。 这一建议强调了朝鲜:正式名称为朝鲜民主主义人民共和国(朝鲜)所构成的网络威胁,并提出了减轻威胁的建议步骤。

美国国务院、财政部、国土安全部和联邦调查局正在发布这一咨询文件,作为国际社会、网络维护者和公众对朝鲜网络威胁的全面调查文件。 这一建议强调了朝鲜:正式名称为朝鲜民主主义人民共和国(朝鲜)所构成的网络威胁,并提出了减轻威胁的建议步骤。 特别是,附件1列出了与朝鲜网络威胁有关的美国政府资源,附件2包括与联合国1718制裁委员会(朝鲜)专家小组报告的链接。

朝鲜的恶意网络活动威胁到美国和更广泛的国际社会,特别是对国际金融体系的完整性和稳定性构成重大威胁。 在美国和联合国强力制裁的压力下,朝鲜越来越依赖非法活动——包括网络犯罪——为其大规模毁灭性武器和弹道导弹计划创收。 特别是,美国对朝鲜的恶意网络活动深感关切,美国政府称之为HIDDEN COBRA。 朝鲜有能力进行破坏性或破坏性的网络活动,影响美国的关键基础设施。 朝鲜还利用网络能力从金融机构窃取信息,并表现出一种破坏性和有害的网络活动模式,这完全不符合国际社会对何为网络空间中负责任的国家行为日益达成的共识。

美国与志同道合的国家密切合作,关注并谴责朝鲜在网络空间的破坏性、破坏性或其他破坏稳定的行为。 例如,2017年12月,澳大利亚、加拿大、新西兰、美国和英国公开将WannaCry2.0勒索攻击归咎于朝鲜,并谴责朝鲜有害和不负责任的网络活动。 丹麦和日本发出了支持联合谴责WannaCry2.0勒索攻击的声明,该攻击在2017年5月影响了世界各地数十万台计算机。

国际社会、网络维护者和公众必须保持警惕,共同努力减轻朝鲜构成的网络威胁。

0x01  朝鲜针对金融部门的恶意活动

朝鲜的许多网络攻击者都隶属于联合国和美国指定的实体,如侦察总局。 朝鲜政府资助的网络参与者主要包括黑客、密码学家和软件开发商,他们从事间谍活动、针对金融机构和数字货币交易所的网络盗窃行为,以及针对外国媒体公司的出于政治动机的行动。 他们在世界各地开发和部署了广泛的恶意软件工具,以使这些活动成为可能,并且变得越来越复杂。 朝鲜国家赞助的网络攻击者非法增加收入的共同策略包括但不限于:

网络金融盗窃和洗钱

联合国安全理事会1718委员会专家小组2019年中期报告(2019年POE中期报告)指出,朝鲜越来越有能力创造收入,尽管联合国安全理事会的制裁,利用恶意网络活动,通过越来越复杂的工具和战术从金融机构窃取。 2019年POE中期报告指出,在某些情况下,这些恶意网络活动也扩展到通过多个司法管辖区清洗资金。 在2019年的POE中期报告中提到,它正在调查数十起涉嫌朝鲜网络犯,截至2019年底,朝鲜试图通过这些非法网络活动窃取多达20亿美元。

司法部2020年3月的没收指控与POE调查结果的部分内容一致。 具体来说,没收指控指控称,朝鲜网络攻击者如何利用朝鲜基础设施推进他们的阴谋,侵入数字货币交易所,窃取数亿美元的数字货币,并清洗资金。

勒索活动

朝鲜网络攻击者还对第三国实体进行勒索活动,破坏实体网络,并威胁要关 闭网络,除非该实体支付勒索。 在某些情况下,朝鲜网络攻击者打着长期有偿咨询安排的幌子,要求受害者付款,以确保今后不发生此类恶意网络活动。 朝鲜的网络攻击者还被支付黑客网站和敲诈第三方客户的目标。

秘密抢劫

2019年POE中期报告指出,POE还在调查朝鲜使用“密码劫持”的情况,这是一种使用受害者机器并偷走它的计算资源挖掘数字货币的方法。 POE发现了几起被加密黑客恶意软件感染的计算机发送挖掘出的资产的事件,其中大部分是匿名的增强数字货币(有时也称为“隐私硬币”)-位于朝鲜的服务器,包括平壤的金日成大学。 这些活动突出了朝鲜利用网络手段创造收入,同时减轻制裁的影响,并表明任何国家都可能受到朝鲜的威胁。 根据2019年POE中期报告,POE还在调查企图违反联合国安全理事会对朝鲜的制裁等活动。

0x02  美国政府向朝鲜公开提供的网络业务

朝鲜一再以美国和其他政府和军事网络以及与私营实体和关键基础设施有关的网络为目标,窃取数据并进行破坏性和破坏性的网络活动。 迄今为止,美国政府已公开将以下网络事件归咎于朝鲜政府赞助的网络攻击者和同谋:

索尼影业

据称,2014年11月,朝鲜国家赞助的网络攻击者对索尼影视娱乐公司(Sony Pictures Entertainment,SPE)发动了网络攻击,以报复2014年电影“访谈”。朝鲜网络攻击者侵入SPE的网络,窃取机密数据,威胁SPE高管和员工,并损坏数千台计算机。

 FBI’s Update on Sony Investigation (Dec. 19, 2014)
 https://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation
 
 DOJ’s Criminal Complaint of a North Korean Regime-Backed Programmer (Sept.
 6, 2018) 
 https://www.justice.gov/opa/pr/north-korean-regime-backed•programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

孟加拉国银行 Heist

2016年2月,朝鲜国家赞助的网络攻击者据称企图从世界各地的金融机构窃取至少10亿$,并据称通过世界银行间金融电信协会(S WIFT)网络的未经授权的交易从孟加拉国银行窃取8100万$。 根据投诉,朝鲜网络攻击者通过针对银行雇员的钓鱼邮件破坏了银行的计算机网络后,访问了孟加拉国银行与SWI FT网络接口的计算机终端。 朝鲜的网络攻击者随后发 送了欺诈认证的SWI FT信息,指示纽约联邦储备银行将资金从孟加拉国银行的联邦储备账户转移到阴谋者控制的账户。

 DOJ’s Criminal Complaint of a North Korean Regime-Backed Programmer (Sept.
 6, 2018) 
 https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

WannaCry 2.0

朝鲜国家赞助的网络参与者开发了被称为WannaCry2.0的勒索软件,以及两个先前版本的勒索软件。 在2017年5月,WannaCry2.0ransomware在150多个国家的医院、学校、企业和家庭中感染了数十万台计算机。 WannaCry2.0勒索软件会加密受感染计算机的数据,并允许网络参与者以比特币数字货币要求勒索支付。 财政部指定了一名朝鲜计算机程序员参与WannaCry2.0阴谋,以及他在索尼影业网络攻击和孟加拉国银行抢劫案中的角色,并指定了他所工作的组织。

 CISA’s Technical Alert: Indicators Associated with WannaCry Ransomware
 (May 12, 2017) 
 https://www.us-cert.gov/ncas/alerts/TA17-132A
 
 White House Press Briefing on the Attribution of WannaCry Ransomware (Dec.
 19, 2017) 
 https://www.whitehouse.gov/briefings-statements/press-briefing-on•the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917/
 
 DOJ’s Criminal Complaint of a North Korean Regime-Backed Programmer (Sept.
 6, 2018) 
 https://www.justice.gov/opa/pr/north-korean-regime-backed•programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and
 
 Treasury Targets North Korea for Multiple Cyber-Attacks (Sept. 6, 2018)
 https://home.treasury.gov/news/press-releases/sm473

FASTCash运动

自2016年底以来,朝鲜国家赞助的网络攻击者采用了一种名为“FASTCash”的欺诈性ATM取款计划,从亚洲和非洲的自动取款机上窃取了数千万美元。 FASTCash方案远程损害银行内部的支付交换机应用服务器,以进行欺诈交易。 在2017年的一次事件中,朝鲜网络攻击者使位于30多个不同国家的自动取款机能够同时提取现金。 在2018年的另一起事件中,鲜的网络攻击者使23个不同国家的自动取款机同时提取现金。

 CISA’s Alert on FASTCash Campaign (Oct. 2, 2018) 
 https://www.us•cert.gov/ncas/alerts/TA18-275A
 
 CISA’s Malware Analysis Report: FASTCash-Related Malware (Oct. 2, 2018)
 https://www.us-cert.gov/ncas/analysis-reports/AR18-275A

0x03  打击朝鲜网络威胁的措施

朝鲜瞄准全球网络基础设施,为其政权服务,包括大规模杀伤性武器计划创造收入。 我们强烈敦促各国政府、工业界、民间社会和个人采取以下所有相关行动,保护自己免受朝鲜的网络威胁:

提高对朝鲜网络威胁的认识

强调朝鲜进行的恶意网络活动的严重性、范围和多样性,将提高公共和私营部门对威胁的普遍认识,并促进采取和执行适当的预防和减轻风险措施。

分享朝鲜网络威胁的技术信息

在国家和国际两级分享信息,以发现和防范朝鲜的网络威胁,将有助于加强网络和系统的网络安全。 应与政府和私营部 门分享最佳做法。 根据2015年《网络安全信息共享法》,非联邦实体可以与联邦和非联邦实体分享与HIDDEN COBRA 有关的网络威胁指标和防御措施。

实施和推广网络安全防范方法

采取技术和行为措施来加强网络安全将使美国和全球网络基础设施更加安全和有弹性。 金融机构,包括货币服务企业,应 采取独立的措施,防止恶意朝鲜网络活动。 这些步骤可包括但不限于通过政府和(或)行业渠道分享威胁信息,分割网络以尽量减少风险,保持数据的定期备份副本,就共同的社会工程策略进行认识培训,执行关于信息共享和网络访问的政策,以及制定网络事件应对计划。 能源部的网络安全能力成熟度模型和国家标准和技术研究所的网络安全框架为开发和实施强有力的网络安全实践提供了指导。 如附件一所示,网络安全和基础设施安全局提供了大量资源,包括技术警报和恶意软件分析报告,以使网络维护者能够识别和减少对恶意网络活动的暴露。

通知执法部门

如果一个组织怀疑它是来自朝鲜或其他国家的恶意网络活动的受害者,必须及时通知执法部门。 这不仅可以加快调查,而且在金融犯罪的情况下也可以增加追回任何被盗资产的机会。 美国执法部门没收了朝鲜网络参与者窃取的价值数百万美元的数字货币。 鼓励所有类型的金融机构,包括货币服务企业,通过遵守U.S.执法部门要求提供有关这些网络威胁和在收到美国执法部门或美国法院命令的请求后,通过识别可没收的资产,并与美国执法部门合作,支持扣押这些资产。

加强反洗钱/打击资助恐怖主义/防止资助扩散措施

各国应迅速和有效地执行金融行动特别工作组关于反洗钱/打击资助恐怖主义行为/合作伙伴关系的标准。 这包括确保金融机构和其他涵盖实体根据金融行动工作组的标准以及金融行动工作组的公开声明和指导意见采取减少风险措施。 具体而言,反洗钱金融行动工作组呼吁所有国家采取反措施,保护国际金融体系不受洗钱、资助恐怖主义和扩散融资风险的影响。

这包括建议所有金融机构和其他有关实体特别注意与朝鲜的商业关系和交易,包括与朝鲜的公司、金融机构和代表它们行事的机构。 根据联合国安全理事会第2270号决议执行部分第33段,会员国应关闭朝鲜银行在其境内的现有分支机构、附属机构和代表处,并终止与朝鲜银行的代理关系。 此外,2019年6月,金融行动工作组修订了其标准,要求所有国家规范和监督数字资产服务提供商,包括数字货币交易所,并在从事数字货币交易时减轻风险。 数字资产服务提供商应该保持警惕客户活动的变化,因为他们的业务可能被用来促进洗钱、恐怖融资和扩散融资。 美国特别关注的是,提供匿名支付和账户服务功能的平台,除其他义务外,没有交易监测、可疑活动报告和客户尽职调查。 U.S.金融机构,包括在美国境内全部或大部分从事业务的外国数字资产服务提供商,以及其他涵盖的企业和个人,应确保它们遵守《银行保密法》规定的监管义务(通过财政部金融犯罪执法网络(FinCEN)条例执行,该条例载于《金融条例》第31章,CFR第十章)。 对金融机构而言,这些义务包括制定和维持有效的反洗钱方案,这些方案的合理设计是为了防止洗钱服务业务被用来便利洗钱和资助恐怖主义活动,以及查明和报告可疑交易,包括向金融环境网报告可疑活动的可疑交易,包括那些由网络事件或涉及数字资产的非法金融活动进行、影响或促成的交易。

加强国际合作

为了打击朝鲜的恶意网络活动,美国经常与世界各国接触,通过外交、军事、执法和司法、网络防御等渠道分享信息和证据,提高对朝鲜网络威胁的认识。 为了阻碍朝鲜通过网络手段窃取资金和抵御朝鲜恶意网络活动的努力,美国强烈敦促各国加强网络防御,关闭朝鲜在第三国的合资企业,并以符合适用国际法的方式驱逐位于国外的朝鲜信息技术工人。 一项2017年联合国安全理事会决议要求所有会员国在2019年12月22日前遣返在国外赚取收入的朝鲜国民,包括信息技术工人。 美国还努力提高外国政府和私营部门的能力,以了解、识别、防御、调查、起诉和应对朝鲜的网络威胁,并参与国际努力,帮助确保网络空间的稳定。

0x04  从事禁止或制裁活动的后果

参与或支持朝鲜网络相关活动,包括处理相关金融交易的个人和实体应意识到从事被禁止或可制裁行为的潜在后果。

财政部外国资产管制处(OFAC)有权对任何被认定有以下行为的人实施制裁:

代表朝鲜政府或朝鲜劳动党从事破坏网络安全的重大活动;

• 在朝鲜从事信息技术行业;

• 从事某些其他恶意网络活动;

• 至少从朝鲜进口或出口到朝鲜的任何货物、服务或技术。

此外,如果财政部长与国务秘书协商,确定外国金融机构明知地与朝鲜进行或促成了重大贸易,或明知地代表根据与朝鲜有关的行政命令或根据第13382号行政命令(大规模毁灭性武器扩散者及其支持者)为与朝鲜有关的活动指定的人进行或促成了重大交易,除其他可能的限制外,该机构可以,失去在美国维持代理或应付帐户的能力。

正如C.F.R31日《经济制裁执行准则》所概述的那样,外国资产管制处调查明显违反其 制裁条例的行为并行使执行权力。 第501部分,附录A。 违反《朝鲜制裁条例》的人。 可能面临民事金钱处罚,最高可达适用的法定最高刑罚的更大,或标的交易价值的两倍。

2019年POE中期报告指出,朝鲜使用并试图使用网络手段窃取银行和数字货币交易所的资金,可能会侵犯多个联合国安全理事会决议(即安理会决议) 、安全理事会第1718号决议执行部分第8(d)段、第2094号决议执行部分第8和第11段以及第2270号决议执行部分第32段。 与朝鲜有关的安 理会决议也提供了各种机制,鼓励遵守联合国对朝鲜实施的制裁。 例如,联合国安全理事会1718委员会可能实施定向制裁(即.. 对与联合国指定实体进行商业交易或逃避制裁的任何个人或实体实行资产冻结和旅行禁令。

司法部对故意违反适用的制裁法律,如《国际紧急经济权力法》(50U.S.C)的行为提起刑事诉讼。 §§1701等。 故意违反此类法律的人可被判处最高20年的监禁、最高100万$的罚款或总收益的两倍(以较大者为准),并没收参与此类交易的所有资金。 司法部还对故意违反U.S.C31日《银行保密法》的行为提起刑事诉讼。 §§5318和5322,其中要求金融机 构除其他外,保持有效的反洗钱方案,并向金融CEN提交某些报告。 违反BSA者可被判处最高5年的监禁、最高25万$的罚款,并可能被没收与违反行为有关的财产。 司法部还 将酌情对违反这些法规的公司和其他实体提起刑事诉讼。 司法部还与外国合作伙伴合作,分享证据,支持彼此的刑事调查和起诉。

根据《美国法典》第31条第5318(k)款,财政部部长或总检察长可传唤在美国设有代理银行账户的外国金融机构,索取存放在海外的记录。 如果美国财政部长或总检察长向美国金融机构发出书面通知,称外国金融机构未能遵守这种传票,美国金融机构必须在十个工作日内终止代理银行关系。 如果不这样做,可能会导致U.美国金融机构进行日常民事处罚。

如果你有关于朝鲜在网络空间的非法活动的信息,包括过去或正在进行的行动,通过国务院的司法奖励计划提供这些信息可以使你有资格获得最多500万$的奖励。

详情请访问: www.rewardsforjustice.net

附件一:副秘书长关于打击朝鲜网络威胁的文件

美国情报界国家情报局长办公室年度全球威胁评估。 在2019年,美国情报界评估,朝鲜对金融机构构成重大网络威胁,仍然是网络间谍威胁,并保留了进行破坏性网络攻击的能力。 朝鲜继续利用网络能力从金融机构窃取收入。 平壤的网络犯罪活动包括试图从世界各地的金融机构窃取超过11亿$的资金——包括从孟加拉国银行成功进行的约8100万$网络抢劫。

报告下载地址:

  https://www.dni.gov/files/ODNI/documents/2019-ATA-SFR-- SSCI.pdf

美国政府将朝鲜的恶意网络活动称为HIDDEN COBRA。 HIDDEN COBRA报告提供了关于朝鲜网络行动者使用的工具和基础设施的技术细节, 这些报告使网络维护者能够识别和减少对朝鲜恶意网络活动的暴露。

CISA的网站包含了这些持续威胁的最新更新:。 https://www.us-cert.gov/northkorea

此外,CISA为其利益相关者提供广泛的网络安全和基础设施安全知识和实践,分享这些知识以促进更好的风险管理,并将其付诸实践,以保护国家的关键职能。 以下是与CISA资源的链接:

 • Protecting Critical Infrastructure: https://www.cisa.gov/protecting-critical-infrastructure
 • Cyber Safety: https://www.cisa.gov/cyber-safety
 • Detection and Prevention: https://www.cisa.gov/detection-and-prevention
 • Information Sharing: https://www.cisa.gov/information-sharing-and-awareness
 • CISA Insights: https://www.cisa.gov/insights
 • Combating Cyber Crime: https://www.cisa.gov/combating-cyber-crime
 • Cyber Essentials: https://www.cisa.gov/cyber-essentials
 • Tips: https://www.us-cert.gov/ncas/tips
 • National Cyber Awareness System: https://www.us-cert.gov/ncas
 • Industrial Control Systems Advisories: https://www.us-cert.gov/ics
 • Report Incidents, Phishing, Malware, and Vulnerabilities: https://www.us-cert.gov/report

联邦调查局密码和闪存报告。 联邦调查局私营工业通知(PIN)提供了最新的信息,将提高私营部门对潜在网络威胁的认识。 联邦调查局联络警报系统报告载有联邦调查局收集的关键信息,供特定私营部门伙伴使用。 它们旨在为接收者提供可采取行动的情报,帮 助网络安全专业人员和系统管理员防范网络罪犯持续的恶意行为。 如果你发现你的企业内有任何可疑活动或有相关信息,请立即与联邦调查局CYWATCH联系。 对于与朝鲜有关的网络威胁PIN或FLASH报告,请联系 [email protected]

 • FBI Cyber Division: https://www.fbi.gov/investigate/cyber
 • FBI Legal Attaché Program: The FBI Legal Attaché’s core mission is to establish and
 maintain liaison with principal law enforcement and security services in designated
 foreign countries. https://www.fbi.gov/contact-us/legal-attache-offices

U.S.赛博指挥部恶意软件信息发布, 美国国防部的网络力量积极寻找朝鲜的恶意网络活动,包括朝鲜利用金融机构、进行间谍活动和针对美国及其合作伙伴的恶意网络活动。

U.S.CyberCommand定期发布恶意软件信息,查明工业和政府在保护其基础设施和网络以打击朝鲜非法活动方面的脆弱性。 支持网络安全的恶意软件信息可以在以下Twitter帐户中找到:@US_CYBERCOM和@CNMF_VirusAlert。

外国资产管制处(OFAC)在线资源中心提供了大量关于朝鲜对恶意网络活动的制裁和制 裁的信息,包括制裁建议、相关法规、行政命令、规则和与朝鲜有关的制裁和网络制裁 条例。 外国资产管制处还公布了几个与朝鲜制裁、网络制裁和数字货币有关的常见问题。 有关外国资产管制处制裁条例和要求的问题或关切,请致电1-800-540-6322或与外国资产管制处的合规热线联系:[email protected]

 • DPRK Sanctions
 o https://www.treasury.gov/resource-center/sanctions/Programs/pages/nkorea.aspx
 o FAQs - https://www.treasury.gov/resource•center/faqs/Sanctions/Pages/faq_other.aspx#nk
 • Malicious Cyber Activities Sanctions
 o https://www.treasury.gov/resource-center/sanctions/Programs/pages/cyber.aspx
 o FAQs - https://www.treasury.gov/resource•center/faqs/Sanctions/Pages/faq_other.aspx#cyber
 o FAQs on Virtual Currency - https://www.treasury.gov/resource•center/faqs/Sanctions/Pages/faq_compliance.aspx#vc_faqs

金融犯罪执法网络(FinCEN)发布了一份关于朝鲜使用国际金融体系()的咨询意见。 金融环境网还 向负有可疑活动报告义务的金融机构发出具体咨询意见,就何时以及如何报告网络犯罪和(或)与数字货币有关的犯罪活动提供指导:

 o Cybercrime
 o https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2016-a005
 • Illicit digital currency activity
 o https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2019-a003
 • Businesses e-mail compromise
 o https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2019-a005
 o https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2016-a003

附件二:联合国专家小组关于朝鲜网络威胁的报告

联合国1718制裁委员会(朝鲜)专家小组报告。 联合国安理会1718制裁朝鲜委员会得到一个专家小组的支持,专家小组“聚集在一起, 审查和分析来自联合国会员国、相关联合国机构和其他各方的关于执行联合国安全理事 会针对朝鲜的决议中概述的措施的信息。 专家小组还就如何通过向1718委员会提交中期报告和最后报告改进制裁执行工作提出建议。

报告如下:

https://www.un.org/securitycouncil/sanctions/1718/panel_experts/reports

本文翻译自:https://www.us-cert.gov/sites/default/files/2020-04/DPRK_Cyber_Threat_Advisory_04152020_S508C.pdf如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/jL8Y
如有侵权请联系:admin#unsafe.sh