美国司法部本周四(7/25)起诉了朝鲜黑客Rim Jong Hyok,指控他参与多起针对美国医院及医疗保健服务供应商的勒索软件攻击行动,并利用所获得的赎金作为窃取全球国防及技术组织机密资讯的基金,同一天,包括Google、微软与美国网络安全暨基础设施安全局(CISA)都披露了Hyok所属黑客组织的行动,Google将该组织命名为APT45,微软称它是Onyx Sleet,它的其他别名还包括Andariel、DarkSeoul或Silent Chollima等。
根据美国、韩国及英国相关单位的调查,Onyx Sleet隶属于朝鲜侦察总局(RGB)旗下负责网络间谍行动的第三局,主要锁定全球国防、航天、核子及工程实体展开间谍活动,以获得机密的技术资讯及知识产权,推动朝鲜政权在军事及核子计划上的野心,同时Onyx Sleet也以勒索软件攻击美国医疗保健供应商,以替这些间谍活动筹措资金。
Google的报告来自该公司于2022年收购的安全企业Mandiant,根据Mandiant的关注,Onyx Sleet在2009年就很活跃,其攻击行动与朝鲜的地缘政治利益一致,自2017年开始关注各国政府机构及国防产业,2019年锁定的是核子及能源领域,尽管其初期目标都是窃取情报,但其中也曾几次出现经济动机,例如在2016年针对银行金融机构发动攻击,2021年也曾针对某家位于东南亚的银行展开鱼叉式网络钓鱼攻击。
微软也说,该公司在2014年观察到Onyx Sleet的存在,当时发现它针对许多全球目标展开网络间谍活动以收集情报,并在近日将目标扩大到财务收益,于2021年及2022年开发及使用勒索软件攻击,也对网络赌博网站产生兴趣。
根据微软的分析,Onyx Sleet使用许多开源与定制化工具,并在攻击行动中使用一系列自制的远程访问木马(RAT)程序,而且会定期修改这些RAT以添增新功能或逃避侦测,经常租赁虚拟专用服务器,或是危害云计算基础设施来进行命令与控制。
Onyx Sleet主要攻击的国家为美国、印度与韩国,锁定的产业则从农业、生物科技、零售、电信、政府组织到健康医疗看护不等。
美国司法部则说,身为Onyx Sleet成员之一的Hyok与其同谋针对美国医疗服务供应商展开勒索软件攻击,并利用相关攻击所获得的赎金作为执行间谍活动的资金,还通过中国洗钱。
根据美国的调查,Onyx Sleet在收到基于加密货币的赎金之后,会在香港同伙的协助下洗钱,其中一个案例是将加密货币转成人民币,再于中国的ATM上取出人民币,该ATM即位于中国与朝鲜的边界附近。
美国司法部与联邦调查局(FBI)已拦截了与Onyx Sleet勒索软件攻击有关的、约价值11.4万美元的加密货币交易,并扣押Onyx Sleet用来执行恶意活动的多个网络账户,同时悬赏1,000万美元给提供Hyok身份及位置资讯的线人。
图片来源/FBI
