美国司法部本周四(7/25)起诉了北韩骇客Rim Jong Hyok,指控他参与多起针对美国医院及医疗保健服务供应商的勒索软体攻击行动,并利用所获得的赎金作为窃取全球国防及技术组织机密资讯的基金,同一天,包括Google、微软与美国网路安全暨基础设施安全局(CISA)都揭露了Hyok所属骇客组织的行动,Google将该组织命名为APT45,微软称它是Onyx Sleet,它的其它别名还包括Andariel、DarkSeoul或Silent Chollima等。
根据美国、南韩及英国相关单位的调查,Onyx Sleet隶属于北韩侦察总局(RGB)旗下负责网路间谍行动的第三局,主要锁定全球国防、航太、核子及工程实体展开间谍活动,以获得机密的技术资讯及智慧财产,推动北韩政权在军事及核子计划上的野心,同时Onyx Sleet也以勒索软体攻击美国医疗保健供应商,以替这些间谍活动筹措资金。
Google的报告来自该公司于2022年收购的资安业者Mandiant,根据Mandiant的追踪,Onyx Sleet在2009年就很活跃,其攻击行动与北韩的地缘政治利益一致,自2017年开始关注各国政府机构及国防产业,2019年锁定的是核子及能源领域,尽管其初期目标都是窃取情报,但当中也曾几次出现经济动机,例如在2016年针对银行金融机构发动攻击,2021年也曾针对某家位于东南亚的银行展开鱼叉式网钓攻击。
微软亦说,该公司在2014年观察到Onyx Sleet的存在,当时发现它针对许多全球目标展开网路间谍活动以收集情报,并在近日将目标扩大到财务收益,于2021年及2022年开发及使用勒索软体攻击,亦对网路赌博网站产生兴趣。
根据微软的分析,Onyx Sleet使用许多开源与客制化工具,并在攻击行动中使用一系列自制的远端存取木马(RAT)程式,而且会定期修改这些RAT以添增新功能或逃避侦测,经常租赁虚拟专用伺服器,或是危害云端基础设施来进行命令与控制。
Onyx Sleet主要攻击的国家为美国、印度与韩国,锁定的产业则从农业、生物科技、零售、电信、政府组织到健康医疗照护不等。
美国司法部则说,身为Onyx Sleet成员之一的Hyok与其同谋针对美国医疗服务供应商展开勒索软体攻击,并利用相关攻击所获得的赎金作为执行间谍活动的资金,还透过中国洗钱。
根据美国的调查,Onyx Sleet在收到基于加密货币的赎金之后,会在香港同伙的协助下洗钱,其中一个案例是将加密货币转成人民币,再于中国的ATM上取出人民币,此一ATM即位于中国与北韩的边界附近。
美国司法部与联邦调查局(FBI)已拦截了与Onyx Sleet勒索软体攻击有关的、约价值11.4万美元的加密货币交易,并扣押Onyx Sleet用来执行恶意活动的多个网路帐户,同时悬赏1,000万美元予提供Hyok身分及位置资讯的线民。
图片来源/FBI