SUA: Cel mai mare producător de echipamente laser, victimă a RansomExx

Compania a fost atacată de ransomware-ul RansomExx, o versiune actualizată a Defray777.

IPG Photonics Laser serving US Army hit by a Ransomware Attack - Cybersecurity Insiders

IPG Photonics, cel mai mare producător american de  echipamente laser folosite pentru tăiere, sudură și uz medical, a căzut victimă ransomware-ului RansomExx.

IPG Photonics are sediul la Oxford, Massachusetts și deține sucursale în întreaga lume. Compania are 4.000 de angajați, iar veniturile de anul trecut s-au ridicat la 1,3 miliarde de dolari. Unele dintre produsele companiei sunt utilizate de Forțele Aeriene ale SUA.

USS Ponce Laser Weapon System by IPG Photonics

Potrivit BleepingComputer, IPG Photonics a fost atacat de un ransomware care i-a întrerupt procesele de producție. Compania a trebuit să oprească sistemele informatice la birourile sale din întreaga lume. Telefoanele și e-mailurile au fost deconectate în birouri, nu a existat nicio comunicare, producția de piese a fost oprită, iar livrarea nu a mai funcționat.

Potrivit specialiștilor, compania a fost atacată de ransomware-ul RansomExx. Acesta este o versiune actualizată a Defray777, iar activitatea sa a crescut semnificativ din iunie a.c. De exemplu, în august, ransomware-ul a atacat Departamentul Transporturilor din Texas și compania Konica Minolta.

Conform notei de răscumpărare, atacatorii au furat datele IPG Photonics din depozite TFS.

Spre deosebire de alți infractori cibernetici, operatorii RansomExx nu au un site pe darkweb unde să publice datele furate.

Rusia: Hackerii vor contribui la elaborarea “codului digital”

Hackerii vor ajuta la crearea “codului digital” al Rusiei.

“Animal estic” by Tara von Neudorf

Consiliul pentru drepturile omului din cadrul Administrației prezidențiale ruse va apela la hackeri pentru a pregăti raportul către Vladimir Putin despre fenomenul hărțuirii pe rețelele de socializare.

Șeful Consiliului pentru drepturile omului, Valeri Fadeev, și-a anunțat intenția de a dezvolta un “cod digital” pentru Rusia.

Consiliul îi va implica pe hackerii ruși în redactarea unui raport complet către președintele Vladimir Putin cu privire la problemele asociate tehnologiilor informatice, de la hărțuirea utilizatorilor pe rețelele sociale până la spionajul cibernetic cu camere CCTV și scurgeri de date bancare, a spus Valeri Fadeev.

Consiliul va crea un grup de lucru “privind protecția cetățenilor în mediul digital”.

Acest grup va pregăti raportul pentru Putin până în luna decembrie a.c.

Grupul va include atât membri ai Consiliului, precum și hackeri, “bine cunoscuți pentru compromiterea sistemelor informatice și diverse manipulări prin internet”, a spus Fadeev.

După prezentarea raportului, Consiliul intenționează să elaboreze un adevărat “cod digital” și să inițieze un proiect de lege conceput pentru a proteja cetățenii ruși împotriva hărțuirii în rețelele sociale și supravegherii.

“În prezent, o problemă uriașă este cea a scurgerii de date, ilustrată, de exemplu, prin situația Annei Kuznețova, avocata poporului pentru drepturile copiilor din Rusia. Aceasta a dorit să demonstreze cât este de simplu să urmărești o persoană prin Moscova. Ea a plătit hackerilor 16 mii de ruble (210 dolari) și a primit de la aceștia un raport amănunțit de supraveghere realizată cu ajutorul camerelor CCTV instalate în capitală. Hărțuirea din rețelele sociale este, de asemenea, un fenomen îngrijorător”, a explicat șeful Consiliului pentru drepturile omului.

Legislația rusă nu protejează în mod adecvat cetățenii în mediul digital, a mai remarcat Fadeev.

Andrei Sabinin, avocat al Grupului internațional Agora, a opinat că inițiativa Consiliului “va contrazice probabil spiritul legii” dacă se va baza pe articole scoase din actualul Cod penal rus. “Ce cod ne mai poate ajuta dacă legea este aplicată selectiv în Rusia?”, a întrebat retoric avocatul.

Trojanul bancar Cerberus, gratuit pe forumurile de hackeri

Decizia de a posta gratuit codul a fost luată ca urmare a dezintegrării echipei de dezvoltare.

“East-European Apocalyptic Horseman” by Tara von Neudorf

După o licitație eșuată, autorii trojanului Cerberus, destinat serviciilor bancare mobile, și-au încărcat codul-sursă pe un popular forum illicit de limba rusă, acesta fiind disponibil în prezent în mod gratuit, a anunțat Dmitri Galov, specialist în cadrul prestigioasei companii de securitate cibernetică Kaspersky Lab.

În luna iulie a.c., dezvoltatorii Cerberus intenționau să-și vândă întregul proiect. Vânzarea urma să se facă prin licitație, prețul de pornire fiind de 50 mii dolari. Pentru 100 mii dolari, dezvoltatorii erau gata să se despartă de creația lor fără a mai negocia. In schimbul banilor, cumpărătorul urma să primească codul-sursă al trojanului, APK, modulele, panoul de administrare, serverele, listele cu “clienții” actuali și potențiali, ghidul de instalare și scripturile necesare pentru buna funcționare a tuturor componentelor.

Anterior, unii clienți l-au putut închiria pentru o perioadă scurtă de timp (4 mii dolari pentru 3 luni, respectiv 7 mii dolari pentru 6 luni).

Conform unei postări din luna iulie, realizată pe unul dintre forumurile de criminalitate cibernetică în limba rusă, “afacerea generează în prezent venituri de minimum 10 mii de dolari pe lună!”. Potrivit dezvoltatorilor, “echipa Cerberus s-a dezintegrat, iar membrii rămași nu au suficient timp pentru a asigura suportul zilnic necesar trojanului”.

“Cerberus este primul trojan din lume conceput pentru Android care a reușit să fure coduri unice pentru autentificarea cu doi factori. Programul combină funcțiile specifice atât unui trojan bancar,  dar și cele ale unuia cu acces remote (RAT). Codul său este scris de la zero. Nu este o clonă a vreunui trojan ale cărui coduri-sursă s-au scurs pe internet. Programul creat de noi este capabil să detecteze dacă rulează pe un dispozitiv real sau într-un sandbox. De asemenea, acest program malițios are funcții excelente. De exemplu, poate falsifica notificările de la serviciile bancare care rulează pe dispozitivul infectat pentru a forța victima să-și introducă credențialele sau poate fura coduri de autentificare cu doi factori”, se mai arata în postarea infractorilor cibernetici.

Potrivit lui Dmitri Galov, după publicarea codului-sursă, numărul infecțiilor dispozitivelor mobile din Rusia și Europa a crescut brusc.

“Dacă cu ceva vreme în urmă, operatorii Cerberus erau sfătuiți în mod subtil de autorități să nu atace utilizatorii ruși, în prezent peisajul atacurilor s-a schimbat”, a remarcat Galov.

Americanii de la Sandvine nu mai oferă sprijin regimului Lukașenko

Compania a anulat acordul cu regimul Lukașenko din cauza încălcărilor drepturilor omului.

Introduction to Sandvine DPI

Compania americană Sandvine, a cărei tehnologie a fost utilizată luna trecută de autoritățile bieloruse pentru a bloca accesul la mii de site-uri web, a reziliat acordul cu Republica Belarus. Guvernul de la Minsk a folosit tehnologia Sandvine pentru a încălca drepturile omului, se precizează într-un comunicat al companiei.

Potrivit reprezentanților Sandvine, o investigație preliminară a arătat că a fost introdus un “cod personalizat” în produsele companiei pentru “a împiedica libera circulație a informațiilor în timpul alegerilor din Republica Belarus”. Compania a interpretat acest lucru ca pe “o încălcare a drepturilor omului ce conduce în mod automat la rezilierea a acordului de licență pentru utilizatorul final”.

Aceasta înseamnă că Sandvine nu va mai oferi actualizări de software și suport tehnic pentru hardware-ul utilizat de Centrul Național al Internetului din Republica Belarus, deși hardware-ul livrat va mai rămâne funcțional pentru o scurtă perioadă de timp.

Potrivit Bloomberg, echipamentul Sandvine a fost instalat la Minsk și a fost gestionat de Centrul Național al Internetului din Belarus. În ciuda protestelor unor angajați, conducerea companiei intenționa inițial să continue cooperarea cu autoritățile din Belarus, invocând faptul că Sandvine nu încalcă sancțiunile SUA și nu consideră accesul la Internet drept un drept al omului, scrie agenția.

Totuși, Sandvine a reziliat colaborarea cu Minskul.

În timpul alegerilor prezidențiale de la începutul lunii august a.c., guvernul bielorus a blocat accesul la mii de site-uri web, folosind tehnologia produsă de Sandvine, a informat Bloomberg.

Proteste la Minsk împotriva regimului Lukașenko

Tehnologia Deep Packet Inspection este dezvoltată de Sandvine și este utilizată pentru monitorizarea și filtrarea traficului de rețea.

În perioada 9-11 august, bielorușii nu au avut acces la mii de site-uri web, printre care s-au numărat și resurse importante precum Google, YouTube, Twitter și Facebook. De asemenea, numeroase site-uri străine de știri au fost blocate.

Protestatarii au găsit totuși o modalitate de a ocoli aceste măsuri abuzive ale autorităților și, pentru a masca traficul de internet, au început să folosească software-ul Psiphon.

Autoritățile au explicat că perturbările au fost cauzate de un “atac cibernetic masiv”. De fapt, potrivit experților, guvernul era cel care bloca internetul, folosind tehnologia livrată de compania americană Sandvine.

Sandvine Inc. produce echipamente cunoscute sub numele de “Deep Packet Inspection”, o tehnologie de analizare a conţinutului pachetelor individuale de date, cu scopul de înregistra ce conţine pachetul, cine l-a trimis şi cui a fost adresat.

Echipamentele au fost obținute indirect de Centrul Național al Internetului din Republica Belarus, ca parte a unui contract de 2,5 milioane de dolari cu compania rusă Jet Infosystems. Conform documentelor guvernamentale, echipamentele companiei americane Sandvine au fost livrate regimului Lukașenko de către furnizorul rus.

TikTok a optat pentru Oracle

Microsoft a anunțat că  ByteDance a refuzat să îi vândă TikTok.

La 14 august a.c., președintele SUA, Donald Trump, a emis un decret prin care obliga ByteDance să-și vândă afacerea din Statele Unite în termen de 90 de zile.

ByteDance, compania chineză proprietară a popularei aplicații de amuzament TikTok, a decis ca Oracle să devină cumpărătorul segmentului american al rețelei sale sociale, a anunțat The Wall Street Journal, citând surse implicate în negocieri.

Potrivit interlocutorilor publicației, acordul dintre ByteDance și Oracle nu va avea forma unei vânzări directe, gigantul tehnologic american devenind “partenerul tehnic de încredere al TikTok în SUA”.

Anterior, Microsoft a anunțat că ByteDance a refuzat să îi vândă TikTok.

Totuși, potrivit ziarului The South China Morning Post (Hong Kong), ByteDance nu intenționează să vândă sau să transfere, ca parte a oricărei tranzacții de vânzare sau dezinvestire, algoritmul de bază al TikTok.

“ByteDance nu va oferi codul-sursă niciunui cumpărător din SUA, însă echipa tehnologică americană a TikTok este liberă să-și dezvolte propriul algoritm”, a afirmat una dintre sursele publicației The South China Morning Post.

Totodată, ByteDance a informat autoritățile americane cu privire la decizia sa despre codul-sursă.

Deși ByteDance nu a anunțat prețul, TikTok a fost cel mai scump startup în anul 2018. După unele estimări, prețul de achiziție ar putea ajunge la 30 de miliarde de dolari.

Negocierile întreprinse de ByteDance, Oracle și Microsoft având ca obiect vânzarea segmentului american al TikTok au început în luna a.c.

Netwalker a atacat cel mai mare furnizor de energie din Pakistan

La 7 septembrie a.c., compania pakistaneză K-Electric a fost supusă unui atac cibernetic ce a condus la compromiterea serviciilor sale online și la imposibilitatea facturării clienților.

image

Cea mai mare companie privată de energie din Pakistan, K-Electric, a fost victima ransomware-ului Netwalker. Potrivit publicației Bleeping Computer, furnizorul a fost supus unui atac cibernetic, în urma căruia facturarea și serviciile online ale companiei au încetat să mai funcționeze.

Se pare că incidentul nu a afectat furnizarea energiei electrice.

Conform paginii lor de pe darknet, atacatorii cer o răscumpărare de 3,85 milioane de dolari. Dacă compania nu plătește banii în termen de șapte zile, suma va fi dublată la 7,7 milioane de dolari.

Tor payment page for K-Electric

Membrii grupării susțin, de asemenea, că au furat fișierele necriptate ale companiei, însă site-ul Netwalker nu oferă informații cu privire la volumul și natura documentelor furate.

Pagina Netwalker de pe darknet arată ca un site obișnuit de servicii clienți, cu pagină de întrebări frecvente (FAQ). Ba chiar oferă un eșantion “gratuit” de software, existând și un chat în timp real. Pagina are, de asemenea, un cronometru special care măsoară timpul rămas până la momentul în care hackerii fie dublează prețul răscumpărării, fie șterg datele furate.

De la 1 martie a.c., operațiunile grupării Netwalker au generat un total de 25 de milioane de dolari, bani rezultați ca plăți de răscumpărare, potrivit unui raport McAfee.

Netwalker este o operațiune de tipul Ransomware-as-a-Service (RaaS) care a început să funcționeze la sfârșitul anului 2019. Afiliații sunt angajați să distribuie ransomware-ul și să infecteze victimele în schimbul a 60-70% din plățile de răscumpărare.

NetWalker poate infecta în doar o oră sisteme cu date privind COVID-19

În timpul atacului, infractorii cibernetici au folosit instrumentele Cobalt Strike, ProcDump, Mimikatz etc.

Specialiștii proiectului de securitate cibernetică The DFIR Report au publicat detaliile unui atac cu ransomware-ul NetWalker asupra unui honeypot.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al celor de la The DFIR Report, iar cercetătorii au avut astfel posibilitatea de a-l studia, descrie și…cronometra!

Modus operandi

În timpul atacului, operatorii malware-ului s-au conectat la sistem prin RDP, au lansat beacon-ul Cobalt Strike și apoi au extras datele de memorie folosind instrumentele ProcDump și Mimikatz. Apoi au obținut acces prin RDP la controlerul de domeniu și, folosind instrumentul PsExec, au lansat ransomware-ul NetWalker. Întregul proces malițios a durat aproximativ 1 oră.

Timpii de lucru ai NetWalker

Potrivit cercetătorilor, atacul a fost efectuat de pe adresa IP 198.181.163 [.] 103 (probabil IPVanish VPN).

Atacatorii s-au conectat la contul de administrator de domeniu și au descărcat scripturile c37.ps1 și c37.exe. Primul script, cel mai probabil Cobalt Strike, a rulat aproximativ 16 minute. Analiza a arătat că acesta ar fi putut conține și programele malițioase Windshield sau SplinterRAT. Deoarece scriptul nu a inițiat nicio conexiune la rețea, experții nu au putut afla dacă acestea funcționează sau nu.

La scurt timp după c37.ps1, atacatorii au lansat un al doilea script, c37.exe. Acesta se copiază în folderul temp și apoi se oprește. Acest fișier conținea virusul Neshta.

Împreună cu scripturile de mai sus, au fost încărcate pe sistem instrumentul AdFind și scripturile adf.bat și pcr.bat.

În etapa următoare, au fost încărcate și lansate pe sistem utilitățile Mimikatz și Procdump.

După obținerea credențialelor, atacatorii au obținut acces RDP la controlerul de domeniu și au descărcat ip.list.txt, P100119.ps1 și instrumentul PsExec. Acesta din urmă a fost folosit pentru a accesa sistemul cu drepturi de administrator de domeniu.

Apoi operatorii, folosind o comandă PowerShell, au lansat ransomware-ul și au lăsat mesajul de răscumpărare.

Inițial, infractorii cibernetici au cerut 50.000 de dolari pentru recuperarea fișierelor. Suma trebuia plătită în termen de 7 zile, altfel aceasta ar fi crescut la 100.000 de dolari.

Mesajul de răscumpărare

În final, specialiștii au reușit să reducă suma de răscumpărare la 35.000 de dolari. Din fericire, de această dată, NetWalker a rulat pe un honeypot.

image

La începutul lunii iunie însă, operatorii ransomware-lui Netwalker au atacat Universitatea din California, San Francisco (UCSF), reușind să cripteze date importante pentru această instituție academică. Universitatea, lider în cercetarea COVID-19, a decis să plătească infractorilor cibernetici o răscumpărarea în valoare de 1,14 milioane dolari. Infractorii cibernetici ceruseră inițial suma de 3 milioane de dolari.

La 04.08 a.c., Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală. Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Regimul Lukașenko a întrerupt internetul cu tehnologie americană

Regimul opresiv al lui Aleksandr Lukașenko a pus pe seama unui  “atac cibernetic masiv”  blocarea accesului la mii de site-uri web.

Proteste la Minsk împotriva regimului lui Lukașenko

În timpul alegerilor prezidențiale de la începutul lunii august a.c., guvernul bielorus a blocat accesul la mii de site-uri web, folosind tehnologia produsă de o companie din Statele Unite, a informat Bloomberg.

Sandvine Inc.

Tehnologia Deep Packet Inspection este deținută de compania Sandvine și este utilizată pentru monitorizarea și filtrarea traficului de rețea.

În anul 2018, când solicita oferte pentru achiziționarea noii tehnologii, guvernul bielorus declara că aceasta va fi utilizată pentru a “contracara perturbările legate de prezența online”.

În perioada 9-11 august, bielorușii nu au avut acces la mii de site-uri web, printre care s-au numărat și resurse importante precum Google, YouTube, Twitter și Facebook. De asemenea, numeroase site-uri străine de știri au fost blocate.

Protestatarii au găsit totuși o modalitate de a ocoli aceste măsuri abuzive ale autorităților și, pentru a masca traficul de internet, au început să folosească software-ul Psiphon.

Autoritățile au explicat că perturbările au fost cauzate de un “atac cibernetic masiv”. De fapt, potrivit experților, guvernul era cel care bloca internetul, folosind tehnologia livrată de compania americană Sandvine.

Sandvine Inc. produce echipamente cunoscute sub numele de “Deep Packet Inspection”, o tehnologie de analizare a conţinutului pachetelor individuale de date, cu scopul de înregistra ce conţine pachetul, cine l-a trimis şi cui a fost adresat.

Echipamentele au fost obținute indirect de Centrul Național al Internetului din Republica Belarus, ca parte a unui contract de 2,5 milioane de dolari cu compania rusă Jet Infosystems.

Conform documentelor guvernamentale, echipamentele companiei americane Sandvine au fost livrate regimului Lukașenko de către furnizorul rus.

Sandvine a refuzat să comenteze dacă echipamentul său a fost vândut către Jet Infosystems sau folosit pentru a cenzura internetul în Republica Belarus, motivând că se ghidează întotdeauna în deciziile sale de marketing după Worldwide Governance Indicators, indicatorii bunei guvernări, instrument analitic al Băncii Mondiale care măsoară libertatea de exprimare, stabilitatea politică, statul de drept și controlul corupției în peste 200 de state.

În anul 2006, guvernul american a aplicat sancțiuni guvernului din Republica Belarus și a interzis companiilor americane “să furnizeze fonduri, bunuri sau servicii în beneficiul lui Lukașenko sau al altor persoane angajate în acțiuni sau politici care subminează procesele sau instituțiile democratice”.

 

 

 

IntSights: China, cea mai mare putere cibernetică

Experții în domeniu consideră China drept cea mai mare putere cibernetică din lume.

Raportul companiei IntSight

Republica Populară Chineză (RPC) este probabil cea mai mare putere cibernetică a lumii. Actualul președinte chinez Xi Jinping a demonstrat că este mult mai agresiv în deciziile legate de domeniul cibernetic decât predecesorul său, Deng Xiaoping. În ultimul deceniu, China a devenit tot mai directă în intențiile sale iar această schimbare a fost observată inclusiv în planul operațiunilor sale cibernetice. Acestea sunt doar câteva dintre concluziile studiului “Partea întunecată a Chinei: Evoluția unei puteri cibernetice globale”, realizat de compania de securitate cibernetică IntSights.

Deși Statele Unite, Rusia sau Israelul dețin capabilități cibernetice considerabile, abordarea agresivă a Chinei în acest domeniu a făcut-o, probabil, cel mai puternic stat cibernetic, se arată în raport.

Mai 2006-iunie 2020. Atacuri cibernetice presupus chineze, soldate cu pagube de peste 1 milion de dolari

Guvernul chinez încearcă să obțină influență și să creeze o lume mai adecvată valorilor și guvernării sale economice prin:

-campanii de spionaj cibernetic agresive, orientate către state și zeci de organizații din sectorul public. Aceste campanii vizează proprietatea intelectuală, secretele comerciale și progresele tehnologice în domeniul inteligenței artificială (AI) pentru a obține avantaje comerciale și militare.

-atacuri ofensive cibernetice avansate, conduse de militari, utilizând malware-uri dezvoltate recent, precum GoldenSpy, Mgbot malware și Taidoor.

-suprimarea digitală a punctelor de vedere culturale, politice și religioase străine și interne, diferite de cele agreate de conducerea comunistă.

Grupările de criminalitate cibernetice chineze continuă să efectueze atacuri pentru a fura proprietatea intelectuală și / sau secretele politice, iar guvernul chinez își extinde atât metodele, cât și strategiile.

Agresivitatea Chinei diferențiază strategia sa cibernetică de abordările mai prudente ale majorității celorlalte țări. De exemplu, guvernul SUA consideră China drept cea mai mare amenințare cibernetică la adresa SUA.

“În ultimul deceniu, China a devenit tot mai directă în intențiile sale iar această schimbare este observată inclusiv în zona operațiunilor cibernetice. În ultimii ani, experții au observat mutații importante ale tacticilor, metodelor și comportamentului grupărilor sponsorizate de statul chinez “, au scris experții IntSight.

La începutul lunii iulie a.c., directorul FBI, Christopher Wray, a catalogat atacurile cibernetice ale hackerilor chinezi ce vizează proprietatea intelectuală și colectarea de informații personale de la cetățenii americani drept “unele dintre cele mai mari transferuri de proprietate din istorie”.

FBI i-a acuzat pe hackerii chinezi de atacul asupra companiei Equifax din 2017, soldat cu furtul identității a aproximativ 150 de milioane de americani.

Jumătate din cele 5.000 de dosare de contrainformații în curs de desfășurare în Statele Unite au legătură cu China, se mai menționează în studiul celor de la IntSight.

Anterior, experții companiei americane de securitate cibernetică Lookout au publicat un raport detaliat privind campania cibernetică a autorităților RPC avându-i ca țintă pe uiguri, minoritate musulmană din vestul Chinei.

Astfel, în cadrul acestei campanii, dispozitivele membrilor comunității vizate au fost infectate cu malware încă din anul 2013, ceea ce le-a permis hackerilor afiliați serviciilor chineze de informații să monitorizeze activitățile comunității uigure atât în China, cât și în străinătate (14 țări). Potrivit analizei, în spatele acestei campanii se află o grupare de hackeri care operează sub auspiciile guvernului chinez. Operațiunile acestei grupări au mai fost documentate, iar anul trecut aceasta a primit numele de cod APT15 (aka GREF, Ke3chang, Mirage, Vixen Panda, Playful Dragon).

Gruparea BeagleBoyz atacă bănci din peste 30 de state

Gruparea de criminalitatea cibernetică BeagleBoyz atacă băncile din peste 30 de țări din întreaga lume.

Study for Mr. Kim by Augustin Răzvan Radu. Courtesy of 1001arte.ro

O grupare nord-coreeană de criminalitate cibernetică, cunoscută sub numele de BeagleBoyz, compromite rețelele de calculatoare ale băncilor din întreaga lume și fură bani prin transferuri frauduloase. De asemenea, gruparea efectuează atacuri directe, la bancomate. Aceste aspecte au fost semnalate într-o declarație comună (26.08.2020) a patru agenții federale americane, printre care se numără FBI, Agenția de Securitate și Infrastructură Cibernetică (CISA) și Trezoreria SUA.

“Din februarie 2020, Coreea de Nord a reluat atacurile asupra băncilor din mai multe țări pentru a efectua transferuri internaționale frauduloase și încasări la bancomate”, se menționează în documentul respectiv.

BeagleBoyz este asociată așa-numitului “Birou 121”, unitatea de intelligence responsabilă pentru majoritatea operațiunilor cibernetice ilicite ale regimului lui Kim Jong-un. Cel mai probabil, gruparea este activă din anul 2014. Activitățile acesteia coincid cu cele ale altor grupări similare, fiind vorba despre APT38, Bluenoroff, Lazarus Group și Stardust Chollim.

Statele afectate de gruparea BeagleBoyz

Potrivit declarației, BeagleBoyz este organizatorul unui atac cibernetic de mare anvergură asupra Băncii Centrale a Bangladeshului, precum și a unei campanii de hacking numită FASTCash, activă din 2016.

Lista țintelor grupării include bănci din peste 30 de țări. BeagleBoyz folosește o varietate de instrumente și tehnici pentru a accesa rețelele vizate, de exemplu atacurile de tip phishing sau ingineria socială.

BeagleBoyz. Modus operandi.

În câteva cazuri, BeagleBoyz s-a folosit de serviciile altor grupări de hackeri, precum TA505.

Pe lângă bănci, BeagleBoyz este interesată și de bursele de monedă virtual.

Anterior, Armata SUA a publicat un ghid intern ce conține detalii despre subdiviziunea secretă a hackerilor din Armata nord-coreeană. Conform raportului, așa-numitul “Birou 121”, o unitate a Direcției de Informații a Statului Major General al APC, este responsabil pentru majoritatea operațiunilor militare cibernetice. Acesta a crescut semnificativ în ultimii ani, pe măsură ce Phenianul și-a extins operațiunile în mediul virtual. Așadar, dacă în 2010 “Biroul 121” număra 1.000 de hackeri bine pregătiți, acum numărul lor a depășit 6.000. Multe dintre operațiunile hackerilor nord-coreeni sunt efectuate de pe teritoriul Bielorusiei, Rusiei, Chinei, Indiei și Malaeziei.

În străinătate, hackerii nord-coreeni înregistrează companii-fantomă care servesc drept acoperire pentru infrastructură malițioasă de server și operațiuni de spălare de bani, se mai menționează în documentul Armatei SUA.