O Departamento de Justiça dos EUA (DoJ) divulgou na quinta-feira uma acusação contra um agente de inteligência militar norte-coreano por supostamente realizar ataques de ransomware contra instalações de saúde no país e canalizar os pagamentos para orquestrar intrusões adicionais em entidades de defesa, tecnologia e governamentais em todo o mundo.
“Rim Jong Hyok e seus co-conspiradores implantaram ransomware para extorquir hospitais e empresas de saúde dos EUA, depois lavaram os lucros para ajudar a financiar as atividades ilícitas da Coreia do Norte”, disse Paul Abbate, vice-diretor do Federal Bureau of Investigation (FBI). “Essas ações inaceitáveis e ilegais colocaram vidas inocentes em risco.”
Simultaneamente à acusação, o Departamento de Estado dos EUA anunciou uma recompensa de até US$ 10 milhões por informações que pudessem levar ao seu paradeiro ou à identificação de outros indivíduos envolvidos na atividade maliciosa.
Hyok, parte de uma equipe de hackers chamada Andariel (também conhecida como APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly e TDrop2), é apontado como responsável por ataques cibernéticos relacionados a extorsão envolvendo uma cepa de ransomware chamada Maui, que foi divulgada pela primeira vez em 2022 como tendo como alvo organizações no Japão e nos EUA.
Os pagamentos de resgate foram lavados por meio de facilitadores baseados em Hong Kong, convertendo os lucros ilícitos em yuan chinês, que depois foram sacados de um caixa eletrônico e usados para adquirir servidores virtuais privados (VPSes) que, por sua vez, foram empregados para exfiltrar informações confidenciais de defesa e tecnologia.
Os alvos da campanha incluem duas bases da Força Aérea dos EUA, a NASA-OIG, bem como empresas de defesa sul-coreanas e taiwanesas e uma empresa de energia chinesa.
Em um caso destacado pelo Departamento de Estado, um ataque cibernético que começou em novembro de 2022 levou os agentes da ameaça a exfiltrar mais de 30 gigabytes de dados de um contratante de defesa não identificado com sede nos EUA. Isso incluía informações técnicas não classificadas sobre materials usado em aeronaves e satélites militares.
As agências também anunciaram a “interdição de aproximadamente US$ 114.000 em moeda digital proveniente de ataques de ransomware e transações relacionadas à lavagem de dinheiro, bem como a apreensão de contas on-line usadas por conspiradores para realizar suas atividades cibernéticas maliciosas”.
Andariel, afiliado ao 3º Bureau do Reconnaissance Common Bureau (RGB), tem um histórico de ataques a empresas estrangeiras, governos, indústrias aeroespaciais, nucleares e de defesa com o objetivo de obter informações técnicas confidenciais e classificadas, além de propriedade intelectual, para promover as aspirações militares e nucleares do regime.
Outros alvos recentes de interesse incluem instituições educacionais, empresas de construção e organizações de manufatura da Coreia do Sul.
“Este grupo representa uma ameaça contínua a vários setores da indústria em todo o mundo, incluindo, mas não se limitando a, entidades nos Estados Unidos, Coreia do Sul, Japão e Índia”, disse a Agência de Segurança Nacional (NSA). “O grupo financia sua atividade de espionagem por meio de operações de ransomware contra entidades de saúde dos EUA.”
O acesso inicial às redes alvo é realizado por meio da exploração de falhas de segurança conhecidas de N-day em aplicativos voltados para a Web, permitindo que o grupo de hackers conduza etapas de reconhecimento subsequente, enumeração de sistemas de arquivos, persistência, escalonamento de privilégios, movimentação lateral e exfiltração de dados usando uma combinação de backdoors personalizados, trojans de acesso remoto, ferramentas prontas para uso e utilitários de código aberto à disposição deles.
Outros vetores de distribuição de malware documentados envolvem o uso de e-mails de phishing contendo anexos maliciosos, como arquivos de atalho do Microsoft Home windows (LNK) ou arquivos de script de aplicativo HTML (HTA) dentro de arquivos ZIP.
“Os atores são bem versados no uso de ferramentas e processos nativos em sistemas, conhecidos como living-off-the-land (LotL)”, disse a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). “Eles usam a linha de comando do Home windows, PowerShell, linha de comando do Home windows Administration Instrumentation (WMIC) e Linux bash, para enumeração de sistema, rede e conta.”
A Microsoft, em seu próprio comunicado sobre o Andariel, descreveu-o como um sistema em constante evolução de seu conjunto de ferramentas para adicionar novas funcionalidades e implementar novas maneiras de contornar a detecção, ao mesmo tempo em que exibe um “padrão de ataque bastante uniforme”.
“A capacidade do Onyx Sleet de desenvolver um espectro de ferramentas para lançar sua cadeia de ataque comprovada o torna uma ameaça persistente, particularmente para alvos de interesse da inteligência norte-coreana, como organizações nos setores de defesa, engenharia e energia”, observou o fabricante do Home windows.
Algumas das ferramentas notáveis destacadas pela Microsoft estão listadas abaixo –
- TigerRAT – Um malware que pode roubar informações confidenciais e executar comandos, como keylogging e gravação de tela, de um servidor de comando e controle (C2)
- SmallTiger – Um backdoor em C++
- LightHand – Um backdoor leve para acesso remoto a dispositivos infectados
- ValidAlpha (também conhecido como Black RAT) – Um backdoor baseado em Go que pode executar um arquivo arbitrário, listar o conteúdo de um diretório, baixar um arquivo, fazer capturas de tela e iniciar um shell para executar comandos arbitrários
- Dora RAT – Uma “cepa de malware simples” com suporte para shell reverso e recursos de obtain/add de arquivos
“Eles evoluíram de atacar instituições financeiras sul-coreanas com ataques disruptivos para atacar o setor de saúde dos EUA com ransomware, conhecido como Maui, embora não na mesma escala de outros grupos de crimes cibernéticos de língua russa”, disse Alex Rose, diretor de pesquisa de ameaças e parcerias governamentais da Secureworks Counter Menace Unit.
“Isso se soma à sua missão principal de reunir informações sobre operações militares estrangeiras e aquisição de tecnologia estratégica.”
Andariel é apenas uma das inúmeras equipes de hackers patrocinadas pelo estado que operam sob a direção do governo e do exército norte-coreano, juntamente com outros grupos rastreados como o Lazarus Group, BlueNoroff, Kimsuky e ScarCruft.
“Durante décadas, a Coreia do Norte esteve envolvida na geração de receitas ilícitas por meio de empreendimentos criminosos, para compensar a falta de indústria nacional e seu isolamento diplomático e econômico world”, acrescentou Rose.
“O ciberespaço foi rapidamente adotado como uma capacidade estratégica que poderia ser usada tanto para coleta de inteligência quanto para ganhar dinheiro. Onde historicamente esses objetivos teriam sido cobertos por diferentes grupos, nos últimos anos houve uma confusão de linhas e muitos dos grupos de ameaças cibernéticas operando em nome da Coreia do Norte também se envolveram em atividades de ganhar dinheiro.”
