El Departament de Justícia dels EUA ha anunciat una acusació de tres pirates informàtics nord-coreans que es diu que participaven amb l’exèrcit coreà pel que fa a ciberatacs i finançament, inclosos el robatori de diners i la criptomoneda. L’acusació és una ampliació d’un cas del 2018 que descriu accions nefastes similars.

Es va dir que el robatori de diners i criptomoneda d’institucions i empreses financeres incloïa múltiples aplicacions de criptomoneda malicioses, així com el desenvolupament i la comercialització fraudulenta d’una plataforma blockchain.

Un segon cas va implicar un ciutadà canadenc-americà que s’ha declarat culpable de blanqueig de capitals mentre que admetia ser un blanquejador de diners per “múltiples esquemes criminals, incloses operacions de cobrament de caixers automàtics i un atracament bancari amb ciberhabilitació orquestrat per pirates informàtics de Corea del Nord. ” Ghaleb Alaumary, 37, de Mississauga, Ontario, Canadà, va ser acusat pel seu paper de blanquejador de diners per a les accions de Corea del Nord, entre altres activitats delictives. Alaumary ha acordat declarar-se culpable d’un delicte de conspiració per cometre blanqueig de diners, que comporta una pena màxima de 20 anys de presó.

Es va dir que Alaumary va organitzar equips de co-conspiradors als Estats Units i al Canadà per blanquejar milions de dòlars obtinguts a través d’operacions de caixers automàtics, inclosos BankIslami i un banc a l’Índia el 2018. Alaumary també va conspirar amb Ramon Olorunwa Abbas, també conegut com “Ray Hushpuppi” i altres per blanquejar fons d’un atracament cibernètic perpetrat per Corea del Nord d’un banc maltès el febrer del 2019. L’estiu passat, Abbas va ser acusat en un cas separat.

L’acusació de pirateria informàtica presentada al tribunal de districte dels Estats Units a Los Angeles al·lega això Jon Chang Hyok (전 창혁), 31; Kim Il (김일), 27; i Park Jin Hyok (박진혁), de 36 anys, que es diu que són membres d’unitats de la Reconnaissance General Bureau (RGB), una agència d’intel·ligència militar de la República Popular Democràtica de Corea (RPDC), que es dedicava a pirateria criminal. Jon, Kim i Park estan acusats d’un delicte de conspiració per cometre fraus i abusos informàtics, que comporta una pena màxima de cinc anys de presó, i d’un delicte de conspiració per cometre frau bancari i frau bancari, que comporta una pena màxima de 30 anys de presó.

El Departament de Justícia va dir que aquestes unitats de pirateria militar nord-coreanes es coneixen amb diversos noms, incloent Lazarus Group i Advanced Persistent Threat 38 (APT38).

Fiscal General Adjunt John C. Demers de la divisió de seguretat nacional del Departament de Justícia, va afirmar:

“Tal com es recull a l’acusació d’avui, els agents de Corea del Nord, que utilitzen teclats en lloc d’armes, roben carteres digitals de criptomoneda en lloc de sacs d’efectiu, són els principals lladres de bancs del món. El Departament continuarà confrontant l’activitat cibernètica d’un estat nacional maliciós amb les nostres eines úniques i treballant amb els nostres companys d’agències i la família de nacions que compleixen les normes per fer el mateix “.

Subdirector de l’FBI Paul Abbate va dir que el robatori de ciberactivitat es va trobar amb els “pendents i persistents esforços d’investigació de l’FBI en estreta col·laboració amb socis nord-americans i estrangers”.

“Arrestant facilitadors, confiscant fons i acusant els responsables de la conspiració de pirateria, l’FBI continua imposant conseqüències i responsabilitzant Corea del Nord de la seva activitat cibernètica criminal”.

L’acusació al·lega:

• Ciberatacs contra la indústria de l’entreteniment: el ciberatac destructiu contra Sony Pictures Entertainment el novembre de 2014 en represàlia per “L’entrevista”, una pel·lícula que representava un assassinat fictici del líder de la RPDC; l’objectiu de desembre de 2014 a AMC Theaters, que estava programat per projectar la pel·lícula; i una intrusió del 2015 a Mammoth Screen, que produïa una sèrie fictícia on participava un científic nuclear britànic presoner a la RPDC.
• Robatoris de bancs amb habilitats cibernètiques: intents de 2015 a 2019 de robar més de 1.2 bilions de dòlars a bancs de Vietnam, Bangla Desh, Taiwan, Mèxic, Malta i Àfrica piratejant les xarxes informàtiques dels bancs i enviant fraudulents Society for Worldwide Interbank Financial Telecommunication ( Missatges SWIFT).
• Robatoris de caixers automàtics habilitats cibernèticament: robatoris a través de sistemes de cobrament de caixers automàtics (el govern dels Estats Units l’anomena “FASTCash”), inclòs el robatori de 6,1 milions de dòlars d’octubre de 2018 de BankIslami Pakistan Limited (BankIslami).
• Ransomware i ciber-habilitats d’extorsió: creació del ransomware destructiu WannaCry 2.0 al maig de 2017, i l’extorsió i intent d’extorsió d’empreses víctimes del 2017 al 2020 que implica el robatori de dades sensibles i el desplegament d’altres ransomware.
• Creació i desplegament d’aplicacions de criptomonedes malicioses: desenvolupament de múltiples aplicacions de criptomoneda malicioses des de març de 2018 fins a setembre de 2020 com a mínim, incloses Celas Trade Pro, WorldBit-Bot, iCryptoFx, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader i Ants2Whale: que proporcionaria als pirates informàtics nord-coreans una porta posterior als ordinadors de les víctimes.
• Orientació a empreses de criptomonedes i robatori de criptomonedes: segmentació de centenars d’empreses de criptomonedes i robatori de criptomonedes per valor de desenes de milions de dòlars, inclosos 75 milions de dòlars d’una empresa de criptomonedes eslovena el desembre del 2017; 24,9 milions de dòlars d’una empresa indonesia de criptomonedes el setembre de 2018; i 11,8 milions de dòlars d’una empresa de serveis financers a Nova York a l’agost del 2020, en què els pirates informàtics van utilitzar l’aplicació maliciosa CryptoNeuro Trader com a porta posterior.
• Campanyes de pesca submarina: diverses campanyes de pesca submarina des de març de 2016 fins a febrer de 2020 dirigides a empleats dels Estats Units van autoritzar contractistes de defensa, empreses energètiques, empreses aeroespacials, empreses tecnològiques, el departament d’Estat dels Estats Units i el Departament de Defensa dels Estats Units..
• Token de cadena marina i oferta inicial de monedes: desenvolupament i comercialització el 2017 de Token de cadena marina per permetre als inversors adquirir participacions fraccionades en vaixells marítims, amb el suport d’una cadena de blocs, que permetria a la RPDC obtenir fons dels inversors en secret, controlar els interessos dels vaixells marítims i eludir les sancions dels EUA.

Simultàniament, l’FBI i l’Agència de Seguretat Cibernètica i Infraestructura del Departament de Seguretat Nacional, en col·laboració amb el Departament d’Hisenda dels Estats Units, han publicat avui informes conjunts d’assessorament sobre ciberseguretat i anàlisi de programari maliciós (MAR) sobre malware criptogràfic nord-coreà. L’anàlisi conjunta de ciberseguretat i els MARs posen en relleu l’amenaça cibernètica que Corea del Nord, que el govern dels EUA fa referència a HIDDEN COBRA, representa per a la criptomoneda i identifica programari maliciós i indicadors de compromís relacionats amb la família de programari maliciós “AppleJeus” (el nom que dóna comunitat de ciberseguretat a una família d’aplicacions de criptomoneda malicioses de Corea del Nord que inclou Celas Trade Pro, WorldBit-Bot, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader i Ants2Whale). L’assessor conjunt sobre ciberseguretat i els MAR proporcionen col·lectivament a la comunitat i al públic de la ciberseguretat informació sobre la identificació d’aplicacions de criptomoneda malicioses a Corea del Nord, evitar intrusions i remeiar infeccions..

La Fiscalia dels Estats Units i l’FBI han obtingut ordres de confiscació que autoritzen l’FBI a confiscar criptomoneda robada pels pirates informàtics de Corea del Nord a una víctima de l’acusació, una empresa de serveis financers de Nova York, celebrada en dues borses de criptomonedes sense nom. Les confiscacions inclouen sumes de múltiples criptomonedes que sumen aproximadament 1,9 milions de dòlars, que es retornaran a la víctima sense nom.