Cyberbadacze z Google Cloud Mandiant podniosła rangę północnokoreańskiego ośrodka cyberzagrożeń, śledzonego przez lata pod nazwą Andariel, znanego również jako Onyx Sleet, Plutonium i Silent Chollima, do rangi oficjalnej grupy o zaawansowanym trwałym zagrożeniu (APT), ostrzegając, iż jej celem są pilnie strzeżone tajemnice i technologie nuklearne, podczas gdy Korea Północna kontynuuje wysiłki w celu zdobycia broni jądrowej.
Działa od 2009 roku i prawdopodobnie mające powiązania z operacją hakerską Lazarus w pewnej formie nowo nazwany APT45 jest opisywany jako umiarkowanie zaawansowany pod względem zakresu i technologii.
Rozpoczęła swoją działalność jako operator motywowany finansowo – podobnie jak wiele północnokoreańskich grup, jej głównym celem jest kradzież kapitału w celu finansowania chorego, odizolowanego reżimu – a jej podejrzewane opracowanie i użycie systemu ransomware odróżnia ją od innych. Mandiant przytoczył dowody użycia Szczepy ransomware Maui i Shatteredglass przez klastry APT45, chociaż nie udało się tego ostatecznie udowodnić.
Jak powiedział Mandiant, z pewną dozą pewności wiadomo, iż ostatnio uwaga APT45 skupiła się na innych dziedzinach, w tym na nauce o uprawach, ochronie zdrowia i farmacji, a ostatnio większość czasu poświęcono sprawom wojskowym.
„Wiele postępów w zakresie zdolności militarnych Korei Północnej w ostatnich latach można bezpośrednio przypisać udanym działaniom szpiegowskim APT45 przeciwko rządom i organizacjom obronnym na całym świecie” — powiedział główny analityk Mandiant Michael Barnhart. „Kiedy Kim Dzong Un żąda lepszych pocisków, to właśnie ci ludzie kradną mu plany”.
W swoich działaniach APT45 wykorzystuje zarówno ogólnodostępne narzędzia hakerskie, jak i zmodyfikowane oraz niestandardowe odmiany złośliwego oprogramowania.
Biblioteka narzędzi tego cyberprzestępcy nieco różni się od bibliotek innych północnokoreańskich ataków APT, jednak jego złośliwe oprogramowanie wykazuje pewne wspólne cechy, w tym ponowne wykorzystywanie kodu, unikalne niestandardowe kodowanie i hasła.
Operacja FBI
W ciągu ostatnich kilku tygodni Mandiant „aktywnie uczestniczył” w skoordynowanych działaniach, współpracując z FBI i innymi agencjami USA, mających na celu śledzenie działań APT45 mających na celu pozyskiwanie informacji wywiadowczych na temat obronności i badań z USA i innych państw – w tym Wielkiej Brytanii, Francji, Niemiec i Korei Południowej, a także Brazylii, Indii i Nigerii.
Uważa się, iż misje APT45 miały na celu zwalczanie ciężkich i lekkich czołgów, samobieżnych haubic, lekkich pojazdów uderzeniowych i dostawczych amunicji, okrętów i jednostek bojowych sił przybrzeżnych, okrętów podwodnych, torped oraz bezzałogowych i autonomicznych pojazdów podwodnych, technologii modelowania i symulacji, samolotów myśliwskich i dronów, pocisków rakietowych i systemów obrony przeciwrakietowej, satelitów, komunikacji satelitarnej i powiązanych technologii, systemów radarowych z radarami fazowanymi oraz produkcji, w tym budowy statków, robotyki, druku 3D, odlewania, wytwarzania, formowania metalu, tworzyw sztucznych i gumy oraz procesów obróbki skrawaniem.
Co bardziej niepokojące, grupa zaobserwowała również ataki na wzbogacanie i przetwarzanie uranu, odpady i ich składowanie, elektrownie jądrowe oraz obiekty i badania.
„APT45 nie jest związane względami etycznymi i wykazało, iż jest chętne i wystarczająco zwinne, aby obrać za cel każdy podmiot, aby osiągnąć swoje cele, w tym szpitale” — powiedział Barnhart. „Konieczny jest skoordynowany globalny wysiłek z udziałem sektora publicznego i prywatnego, aby przeciwdziałać temu uporczywemu i rozwijającemu się zagrożeniu”.
