Een elitegroep van Noord-Koreaanse hackers is geïdentificeerd als de bron van een golf van cyberaanvallen op wereldwijde banken die "honderden miljoenen" dollars heeft opgeleverd. Dat hebben beveiligingsonderzoekers woensdag gezegd.

Een rapport van het cyberbeveiligingsbedrijf FireEye zei dat de nieuw geïdentificeerde groep genaamd APT38 verschilt van, maar is gekoppeld aan andere Noord-Koreaanse hackoperaties, en heeft als missie fondsen te werven voor het geïsoleerde regime van Pyongyang.

FireEye-onderzoekers zeiden dat APT38 een van de vele hackcellen is binnen een overkoepelende groep die bekend staat als "Lazarus, " maar met unieke vaardigheden en tools die het hebben geholpen bij het uitvoeren van enkele van 's werelds grootste cyberovervallen.

"Ze zijn een cybercriminele groep met de vaardigheden van een cyberspionagecampagne, " zei Sandra Joyce, FireEye's vice-president van inlichtingen, tijdens een briefing met journalisten in Washington.

Joyce zei dat een van de kenmerken van APT38 is dat het enkele maanden duurt, soms bijna twee jaar, door te dringen en de werking van zijn doelen te leren kennen vóór zijn aanvallen, die hebben getracht op illegale wijze meer dan $ 1 miljard over te maken van getroffen banken.

"Ze nemen de tijd om de fijne kneepjes van de organisatie te leren, ' zei Joyce.

Als ze eenmaal slagen, voegde ze eraan toe, "ze gebruiken destructieve malware op hun weg naar buiten" om hun sporen te verbergen en het voor slachtoffers moeilijker te maken om erachter te komen wat er is gebeurd.

Gevoel van urgentie

Joyce zei dat FireEye besloot om de dreiging openbaar te maken uit een "gevoel van urgentie", omdat de groep nog steeds lijkt te werken en "niet wordt afgeschrikt door diplomatieke inspanningen".

De groep heeft sinds ten minste 2014 meer dan 16 organisaties in ten minste 11 verschillende landen gecompromitteerd, volgens het FireEye-rapport.

Enkele van de bekende aanvallen waren gericht op de Vietnam TP Bank in 2015, Bangladesh Bank in 2016, Far Eastern International Bank of Taiwan in 2017 en Bancomext van Mexico en Banco de Chile in 2018.

Joyce zei dat de groep "de reikwijdte en middelen van een natiestaat" lijkt te hebben, maar gaf geen specifieke cijfers over het aantal mensen dat het gebruikt.

Nalani Fraser, een lid van het FireEye-onderzoeksteam, zei dat APT38-aanvallen sinds 2014 minstens $ 1,1 miljard hebben geëist en erin zijn geslaagd om "honderden miljoenen dollars te stelen op basis van gegevens die we kunnen bevestigen".

FireEye zei dat er een deel van middelen lijkt te zijn tussen hackergroepen in Noord-Korea, inclusief degenen die betrokken zijn bij spionage en die bij andere soorten aanvallen.

Gerichte missie

Een deel van de informatie over APT38 werd onthuld in een Amerikaanse strafrechtelijke aanklacht die vorige maand werd ontsloten tegen Park Jin Hyok, aangeklaagd in verband met de uitbraak van WannaCry-ransomware en de aanval op Sony Pictures.

Maar Park speelde waarschijnlijk slechts een perifere rol in APT38, die "een gerichte missie heeft om geld te stelen om het Noord-Koreaanse regime te financieren, " volgens Joyce.

Het nieuwe rapport van FireEye was deels gebaseerd op forensische analyse die het uitvoerde voor de FBI in het onderzoek naar Park, maar ook uit andere gegevens die het beveiligingsbedrijf heeft verzameld van zijn wereldwijde klantenbestand.

De onderzoekers zeiden dat APT38 technieken gebruikte, waaronder 'phishing'-e-mails om toegang te krijgen tot inloggegevens en 'watering holes' te gebruiken:gekaapte websites die normaal lijken, maar die malware bevatten waarmee hackers meer gegevens en toegang kunnen verzamelen.

Als onderdeel van de regeling, de hackers creëerden valse identiteiten binnen bekende niet-gouvernementele organisaties of stichtingen om het gestolen geld te helpen verplaatsen, in sommige gevallen het manipuleren van het wereldwijde interbancaire overboekingssysteem dat bekend staat als SWIFT.

Het rapport is het laatste dat een uitgebreide en steeds geavanceerdere cybercampagne belicht door Noord-Korea voor zowel politieke als financiële doeleinden.

In september, een aanklacht van 176 pagina's tegen Park schetste wat functionarissen "een grootschalig en gedurfd plan van de Noord-Koreaanse regering noemden om computerinbraken te gebruiken als een middel om de uiteenlopende doelen van hun regime te ondersteunen."

Op dinsdag, het Amerikaanse ministerie van Binnenlandse Veiligheid waarschuwde dat Noord-Korea waarschijnlijk achter malware zit die wordt gebruikt om geld van bankautomaten te hacken en te stelen.

Het bulletin zei dat functionarissen geloven dat de "Hidden Cobra"-malware Noord-Korea in staat stelde om illegaal contant geld te krijgen van bankautomaten in ten minste 30 landen. voornamelijk in Azië en Afrika, sinds 2016.

© 2018 AFP