Северные киберпреступники создали две фиктивные компании в Соединенных Штатах для заражения программного обеспечения, используемого разработчиками из индустрии криптовалют, что нарушает санкции американского министерства финансов.
Blocknovas LLC и Softglide LLC были основаны в Нью -Мексико и Нью -Йорке с использованием ложных личных данных и адресов — скажем, American Company, занимающейся Silent Push, занимающейся кибербезопасностью. Третья организация Angeloper Agency, также связанная с кампанией, не была официально зарегистрирована в США.
Следы указывают на Лазарь
— Это один из редких случаев, когда северокорейские хакеры удалось создать юридические лица в США, чтобы использовать их в качестве прикрытия для атак для кандидатов на работу — Кейси Бест, директор по разведке по угрозам в Silent Push, сказал.
Злоумышленники принадлежат к подгруппе в известном хакером Lazarus Group, связанной с общим офисом признания — главным разведывательным агентством Северной Кореи.
ФБР отказалось комментировать Blocknovas и Softglide. Тем не менее, объявление ФБР о оккупации домена появилось на веб -сайте BlockNovas. Следователи объявили, что этот домен был принят в действие в рамках действия против северокорейских киберпреступников, которые выдавали себя за работодателей и отправили вредоносное ПО.
Перед тем, как взять домен, представители ФБР сообщили Reuters, что офис все еще «Он сосредотачивается на том, чтобы навязывать согласованность не только преступников из Северной Кореи, но и на всех, кто облегчает их действия»Полем Один из чиновников ФБР назвал северокорейские кибернетические операции как «одну из самых передовых угроз» для безопасности США.
Миссия Северной Кореи в ООН в Нью -Йорке не ответила на запросы о комментариях.
Согласно Best, атаки используют ложные предложения о работе, которые приводят к установке передовых вредоносных программных программных программных программных программных программных программных программ для разработчиков и их доступа, которые можно использовать в последующих кибератак для юридических компаний.
Silent Push определил многие жертвы этой кампании, в частности в связи с деятельностью Blocknovas, которые оказались наиболее активными из трех организаций.
Тем временем журналисты агентства Reuters проанализировали регистрационные документы Blocknovas и Softglide. Они содержали ложные данные — например, адрес Blocknovas в Уорренвилле, штат Южная Каролина, указывает в соответствии с картами Google в пустую область. Softglide был зарегистрирован небольшой налоговой офисом в Буффало, штат Нью -Йорк.
Эта деятельность является частью долгосрочной деятельности Северной Кореи, направленной на получение финансовых ресурсов для режима в Пхеньяне. В дополнение к атакам хакеров Северная Корея отправляет тысячи специалистов по ИТ -специалистам за рубежом для получения миллионов доходов, поддерживающих ядерную программу этой страны.
Корея должна
Регистрация северокорейских компаний в Соединенных Штатах является нарушением санкций, введенных Управлением по контролю за иностранными активами (OFAC) и резолюциями ООН, запрещающей коммерческую деятельность Пхеньяна.
Государственный департамент Нью -Йорк отказался комментировать компании, зарегистрированные в этом штате. В свою очередь, Управление Государственного секретаря Новой Мексики сообщило, что регистрация Блокновы пошла в соответствии с правилами, и офис не смог обнаружить его северокорейские связи.
Согласно Silent Push, киберпреступники использовали известные типы вредоносных программ, ранее приписываемые операциям северокорейской. Программное обеспечение для вредоносных программ включило кражу данных, доступ к сети и установка дополнительных вирусов.
