تفرض وزارة الخزانة الأمريكية عقوبات على الجماعات السيبرانية الخبيثة التي ترعاها الدولة في كوريا الشمالية

اليوم، وزارة الخزانة الأمريكيةأعلن مكتب مراقبة الأصول الأجنبية (OFAC) عن عقوبات تستهدف ثلاث مجموعات إلكترونية خبيثة ترعاها الدولة في كوريا الشمالية مسؤولة عن كوريا الشماليةالنشاط السيبراني الضار على البنية التحتية الحيوية. تحدد إجراءات اليوم مجموعات القرصنة الكورية الشمالية المعروفة عمومًا في الصناعة الخاصة للأمن السيبراني العالمي باسم "Lazarus Group" و "Bluenoroff" و "Andariel" باعتبارها وكالات أو أدوات أو كيانات خاضعة لسيطرة حكومة كوريا الشمالية وفقًا للأمر التنفيذي (EO) ) 13722 ، بناءً على علاقتهم بالمكتب العام للاستطلاع (RGB). يتم التحكم في مجموعة Lazarus Group و Bluenoroff و Andariel بواسطة RGB المعين من قبل الولايات المتحدة والأمم المتحدة ، وهو مكتب الاستخبارات الرئيسي في كوريا الشمالية.

وقالت سيغال ماندلكر ، وكيل وزارة الخزانة لشؤون الإرهاب والاستخبارات المالية: "تتخذ وزارة الخزانة إجراءات ضد مجموعات القرصنة الكورية الشمالية التي كانت تنفذ هجمات إلكترونية لدعم برامج الأسلحة والصواريخ غير المشروعة". "سنستمر في فرض عقوبات الولايات المتحدة والأمم المتحدة الحالية ضد كوريا الشمالية والعمل مع المجتمع الدولي لتحسين الأمن السيبراني للشبكات المالية."

نشاط إلكتروني ضار من قبل مجموعة Lazarus و Bluenoroff و Andariel

تستهدف مجموعة Lazarus Group مؤسسات مثل الحكومة والجيش والمالية والتصنيع والنشر والإعلام والترفيه وشركات الشحن الدولية ، فضلاً عن البنية التحتية الحيوية ، باستخدام تكتيكات مثل التجسس الإلكتروني ، وسرقة البيانات ، والسرقة النقدية ، وعمليات البرامج الضارة المدمرة. تم إنشاء هذه المجموعة السيبرانية الخبيثة من قبل حكومة كوريا الشمالية في وقت مبكر من عام 2007 ، وهي تابعة لمركز الأبحاث رقم 110 ، المكتب الثالث لـ RGB. يُعرف المكتب الثالث أيضًا باسم مكتب المراقبة الفنية الثالث وهو مسؤول عن العمليات الإلكترونية لكوريا الشمالية. بالإضافة إلى دور RGB ككيان رئيسي مسؤول عن الأنشطة الإلكترونية الخبيثة لكوريا الشمالية ، فإن RGB هي أيضًا وكالة الاستخبارات الكورية الشمالية الرئيسية وتشارك في تجارة الأسلحة الكورية الشمالية. تم تعيين RGB بواسطة مكتب مراقبة الأصول الأجنبية في 3 يناير 3 وفقًا لـ EO 3 لكونه كيانًا خاضعًا لسيطرة حكومة كوريا الشمالية. تم إدراج RGB أيضًا في ملحق EO 2 في 2015 أغسطس 13687. عينت الأمم المتحدة أيضًا RGB في 13551 مارس 30.

شاركت مجموعة Lazarus Group في هجوم WannaCry 2.0 المدمر الذي نفذته الولايات المتحدة وأستراليا وكندا ونيوزيلندا والمملكة المتحدة علنًا إلى كوريا الشمالية في ديسمبر 2017. وأصدرت الدنمارك واليابان بيانات داعمة واتخذت العديد من الشركات الأمريكية إجراءات مستقلة لتعطيلها النشاط السيبراني لكوريا الشمالية. أثر WannaCry على 150 دولة على الأقل حول العالم وأغلق ما يقرب من ثلاثمائة ألف جهاز كمبيوتر. من بين الضحايا الذين تم تحديدهم علنًا خدمة الصحة الوطنية (NHS) في المملكة المتحدة. ما يقرب من ثلث مستشفيات الرعاية الثانوية في المملكة المتحدة - المستشفيات التي توفر وحدات العناية المركزة وخدمات الطوارئ الأخرى - و 19,000 بالمائة من الممارسات الطبية العامة في المملكة المتحدة أصيبت بالشلل بسبب هجوم الفدية ، مما أدى إلى إلغاء أكثر من 112 موعد وتكلف في النهاية NHS أكثر من 2014 مليون دولار ، مما يجعلها أكبر انتشار معروف لبرامج الفدية في التاريخ. كانت مجموعة Lazarus Group مسؤولة بشكل مباشر عن الهجمات الإلكترونية المعروفة في XNUMX لشركة Sony Pictures Entertainment (SPE).

تم أيضًا تصنيف مجموعتين فرعيتين من Lazarus Group اليوم ، ويشار إلى المجموعة الأولى باسم Bluenoroff من قبل العديد من شركات الأمن الخاصة. تم تشكيل Bluenoroff من قبل حكومة كوريا الشمالية لكسب إيرادات بشكل غير قانوني استجابة للعقوبات العالمية المتزايدة. ينفذ Bluenoroff نشاطًا إلكترونيًا خبيثًا في شكل سرقات عبر الإنترنت ضد المؤسسات المالية الأجنبية نيابة عن النظام الكوري الشمالي لتوليد إيرادات ، جزئيًا ، من برامج الأسلحة النووية والصواريخ الباليستية المتنامية. لاحظت شركات الأمن السيبراني هذه المجموعة لأول مرة في عام 2014 ، عندما بدأت الجهود الإلكترونية لكوريا الشمالية في التركيز على المكاسب المالية بالإضافة إلى الحصول على المعلومات العسكرية ، أو الشبكات المزعزعة للاستقرار ، أو تخويف الخصوم. وفقًا لتقارير الصناعة والصحافة ، بحلول عام 2018 ، حاول Bluenoroff سرقة أكثر من 1.1 مليار دولار من المؤسسات المالية ، ووفقًا لتقارير صحفية ، نفذ بنجاح مثل هذه العمليات ضد البنوك في بنغلاديش والهند والمكسيك وباكستان والفلبين وكوريا الجنوبية. وتايوان وتركيا وتشيلي وفيتنام.

وفقًا لشركات الأمن السيبراني ، عادةً من خلال التصيد الاحتيالي وعمليات الاقتحام الخلفية ، أجرت Bluenoroff عمليات ناجحة استهدفت أكثر من 16 مؤسسة في 11 دولة ، بما في ذلك نظام مراسلة SWIFT والمؤسسات المالية وتبادل العملات المشفرة. في واحدة من أكثر الأنشطة السيبرانية شهرة في Bluenoroff ، عملت مجموعة القرصنة بالاشتراك مع Lazarus Group لسرقة ما يقرب من 80 مليون دولار من حساب الاحتياطي الفيدرالي في نيويورك للبنك المركزي لبنغلاديش. من خلال الاستفادة من البرامج الضارة المشابهة لتلك التي شوهدت في هجوم SPE السيبراني ، قدمت Bluenoroff و Lazarus Group أكثر من 36 طلب تحويل أموال كبيرة باستخدام بيانات اعتماد SWIFT المسروقة في محاولة لسرقة ما مجموعه 851 مليون دولار قبل حدوث خطأ مطبعي نبه الموظفين لمنع الأموال الإضافية من سرق.

المجموعة الفرعية الثانية من مجموعة Lazarus التي تم تحديدها اليوم هي Andariel. يركز على إجراء العمليات السيبرانية الضارة على الشركات الأجنبية والوكالات الحكومية والبنية التحتية للخدمات المالية والشركات الخاصة والشركات بالإضافة إلى صناعة الدفاع. لاحظت شركات الأمن السيبراني لأول مرة Andariel في حوالي عام 2015 ، وأفادت أن Andariel تنفذ باستمرار جرائم الإنترنت لتوليد الإيرادات وتستهدف حكومة كوريا الجنوبية والبنية التحتية من أجل جمع المعلومات وإحداث الفوضى.

على وجه التحديد ، لاحظت شركات الأمن السيبراني أن Andariel تحاول سرقة معلومات البطاقة المصرفية عن طريق اختراق أجهزة الصراف الآلي لسحب النقود أو سرقة معلومات العملاء لبيعها لاحقًا في السوق السوداء. Andariel مسؤول أيضًا عن تطوير وإنشاء برامج ضارة فريدة لاختراق مواقع البوكر والمقامرة عبر الإنترنت لسرقة الأموال.
وفقًا لتقارير الصناعة والصحافة ، إلى جانب جهودها الإجرامية ، يواصل Andariel القيام بنشاط إلكتروني ضار ضد موظفي حكومة كوريا الجنوبية والجيش الكوري الجنوبي في محاولة لجمع المعلومات الاستخبارية. إحدى الحالات التي تم رصدها في سبتمبر 2016 كانت اقتحامًا إلكترونيًا لجهاز الكمبيوتر الشخصي لوزير الدفاع الكوري الجنوبي في منصبه في ذلك الوقت والشبكة الداخلية لوزارة الدفاع من أجل استخراج معلومات استخباراتية عن العمليات العسكرية.

بالإضافة إلى الأنشطة السيبرانية الخبيثة على المؤسسات المالية التقليدية والحكومات الأجنبية والشركات الكبرى والبنية التحتية ، تستهدف العمليات الإلكترونية لكوريا الشمالية أيضًا موفري الأصول الافتراضية وعمليات تبادل العملات المشفرة للمساعدة في التعتيم على تدفقات الإيرادات والسرقات الإلكترونية التي من المحتمل أيضًا أن تمول كوريا الشمالية. برامج أسلحة الدمار الشامل والصواريخ البالستية. وفقًا لتقارير الصناعة والصحافة ، من المحتمل أن تكون مجموعات القرصنة الثلاث التي ترعاها الدولة قد سرقت حوالي 571 مليون دولار من العملات المشفرة وحدها ، من خمس بورصات في آسيا بين يناير 2017 وسبتمبر 2018.

جهود حكومة الولايات المتحدة لمكافحة التهديدات الإلكترونية لكوريا الشمالية

بشكل منفصل ، عملت وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي (CISA) والقيادة الإلكترونية الأمريكية (USCYBERCOM) في الأشهر الأخيرة جنبًا إلى جنب للكشف عن عينات البرامج الضارة إلى صناعة الأمن السيبراني الخاصة ، والتي نُسب العديد منها لاحقًا إلى جهات فاعلة إلكترونية في كوريا الشمالية ، كجزء من جهد مستمر لحماية النظام المالي الأمريكي والبنية التحتية الحيوية الأخرى بالإضافة إلى التأثير الأكبر في تحسين الأمن العالمي. هذا ، إلى جانب إجراء مكتب مراقبة الأصول الأجنبية اليوم ، هو مثال على نهج على مستوى الحكومة للدفاع والحماية من التهديد الإلكتروني الكوري الشمالي المتزايد ، وهو خطوة أخرى في رؤية المشاركة المستمرة التي وضعتها USCYBERCOM.

نتيجة لإجراءات اليوم ، فإن جميع الممتلكات والمصالح في ممتلكات هذه الكيانات ، وأي كيانات مملوكة ، بشكل مباشر أو غير مباشر ، 50 في المائة أو أكثر من قبل الكيانات المعينة ، الموجودة في الولايات المتحدة أو في الحيازة أو السيطرة من الأشخاص الأمريكيين محظورون ويجب إبلاغ مكتب مراقبة الأصول الأجنبية. تحظر لوائح مكتب مراقبة الأصول الأجنبية عمومًا جميع المعاملات التي يقوم بها الأشخاص الأمريكيون أو داخل (أو عبر) الولايات المتحدة والتي تنطوي على أي ممتلكات أو مصالح في ممتلكات الأشخاص المحظورين أو المحددين.

بالإضافة إلى ذلك ، قد يتعرض الأشخاص الذين يشاركون في معاملات معينة مع الكيانات المعينة اليوم للتعيين. علاوة على ذلك ، فإن أي مؤسسة مالية أجنبية تسهل عن عمد معاملة مهمة أو تقدم خدمات مالية كبيرة لأي من الكيانات المحددة اليوم يمكن أن تخضع لعقوبات حساب مراسل أمريكي أو عقوبات مستحقة الدفع.