유엔 패널은 북한 해커들이 6년간 약 30억 달러를 모금할 수 있었던 58건의 사이버 공격을 조사하고 있다고 밝혔습니다.
보고서에서 3월 7일 출시유엔 전문가들은 2017년부터 2023년까지 “킴수키(Kimsuki), 라자루스 그룹(Lazarus Group), 안다릴(Andaryl), 블루 노로프(Blue Norov) 등 정찰총국(RGB)과 연계된 사이버 위협 행위자”)의 활동을 추적했다고 밝혔습니다. Kimsuki와 Lazarus는 특히 사이버 보안으로 유명합니다. 연구원.
전문가들은 “사이버 위협 행위자들의 주요 임무는 조선민주주의인민공화국을 위한 가치 있는 정보를 획득하고 불법적으로 국가를 위한 수익을 창출하는 것”이라고 말하며 미국 정부와 기타 국제 당국의 비난을 반영했다.
보고서는 훔친 지적재산권이 정권의 기술 발전에 도움이 되며 매각될 수도 있다고 밝혔다.
전문가들은 “국가의 공격 방법에는 피싱, 취약점 악용, 사회 공학 및 워터링 홀이 계속해서 포함되어 있다”고 말했습니다.
위원회는 현재 2023년에만 17건의 암호화폐 해킹을 조사하고 있으며, 도난당한 자금의 가치는 약 7억 5천만 달러에 달합니다.
이러한 공격 중 일부는 다음과 같습니다.
- Terraport Finance, 2023년 4월 10일, 400만 달러
- 멀린 딕스(Merlin Dix), 2023년 4월 26일, 180만 달러
- Atomic Wallet, 2023년 6월 2일, 1억 2천만 달러
- Alphabo, 2023년 7월 22일, 1억 1천만 달러
- 유료 통화, 2023년 7월 22일, 4,400만 달러
- 꾸준함, 2023년 8월 7일, 116만 달러
- Stake.com, 2023년 9월 4일, 4,130만 달러
- CoinEx, 2023년 9월 12일, 7천만 달러
- 팬텀 재단, 2023년 10월 17일, 750만 달러
- Poloniex, 2023년 11월 10일, 1억 1400만 달러
- htx2023년 11월 22일, 3천만 달러
- HECO 시리즈(HTX Eco 시리즈 브리지), 11월 22일, 8,600만 달러
- Orbit 시리즈, 2023년 12월 31일, 8,100만 달러
전문가들은 이들 그룹이 계속해서 방산업체와 소프트웨어 공급망을 표적으로 삼고 인프라와 도구를 점점 더 공유하고 있다고 말했습니다.
위원회는 다양한 북한 정부와 군 단체가 수행한 공격을 추적하고 있는 수십 개의 연구 회사와 사이버 보안 회사에서 나온 수백 건의 보고서를 인용했습니다.
이 그룹은 원자력 엔지니어, 레이더 시스템을 만드는 회사, 무인 항공기, 군용 차량, 선박, 무기 및 해양 회사를 표적으로 삼았습니다. 일부는 스페인, 네덜란드, 폴란드, 심지어 러시아에 있습니다.
러시아는 북한 단체가 자행한 것으로 추정되는 여러 가지 사건에 대해 위원회의 질문을 받았을 때 이를 부인하거나 논평을 거부했습니다. 위원회는 중국 기관들 역시 북한 단체들의 공격이 거세게 몰아쳤다고 지적했습니다.
사회 공학 및 공급망 공격
이 보고서는 LinkedIn에서 가짜 직원으로 가장하는 것부터 Telegram 및 WhatsApp에서 구직자를 조종하는 것까지 해킹 그룹이 사용하는 수십 가지의 다양한 사회 공학적 전술을 식별합니다.
공격자들은 또한 반복적으로 한국 기업과 정부 기관을 표적으로 삼아 한국 해군, IT 기업, 대학 등으로부터 대량의 국방 데이터를 훔쳤습니다.
JumpCloud, JetBrains 및 CyberLink와 같은 소프트웨어 제조업체가 관련된 공급망 공격도 보고서에서 강조되었으며 조사관은 JumpCloud 공격을 통해 북한 해커가 두 건의 암호화폐 절도를 시도하여 약 1억 4,750만 달러의 수익을 챙겼다는 사실을 발견했습니다.
보고서는 또한 사이버 보안 회사와 정부가 식별하고 북한과 연결한 때때로 혼란스러운 그룹 네트워크에 대해서도 다루고 있습니다. 위원회는 공격에 연루된 그룹 사이에 “중복이 증가하고 있음”을 발견했습니다.
안다리엘(Andariel), 킴수키(Kimsuky), 블루노로프(BlueNoroff), 스카크루프트(ScarCruft), 라자루스(Lazarus) 등 명명된 그룹은 북한의 여러 기관 내에 위치하지만 일반적으로 공동 운영을 수행하고 인프라를 공유합니다.
위원회는 위원 중 한 명이 2023년에 표적이 되었다고 지적합니다.
전문가들은 “김수케(Kimsuke) 같은 북한 사이버 운영자가 지속적인 피싱 공격을 통해 위원회 위원의 개인 이메일 주소를 표적으로 삼았을 가능성이 있다”고 말했다.
그는 “위원회는 위원회와 위원회에 대한 그러한 공격이 제재 회피에 해당한다는 견해를 재확인한다”고 덧붙였다.
북한 단체들도 랜섬웨어에 연루된 것으로 알려졌는데, 안다리엘과 연결된 해커들이 3개 회사에 대한 랜섬웨어 공격을 통해 36만 달러 상당의 비트코인(BTC)을 훔쳤습니다.
위원회는 “라자루스 그룹 공격자들은 한국의 한 회사와 협력하여 랜섬웨어를 배포하고 700명 이상의 피해자로부터 복구 비용으로 약 260만 달러를 모았습니다”라고 덧붙였습니다. “수익금 중 일부는 라자루스 그룹이 소유한 암호화폐 지갑으로 이체된 것으로 알려졌습니다.”
보고서에는 금융 기관에 대한 사이버 보호 강화, 특정 해킹 그룹에 대한 제재 강화 등 유엔 회원국을 위한 일련의 권고 사항이 포함되어 있습니다.
또한 국가들은 북한 행위자들이 훔친 돈을 세탁하기 위해 사용하는 방법을 제한하는 방법을 찾아야 한다고 위원회는 말했습니다.
블록체인 보안 회사인 Elliptic은 북한의 활동을 면밀히 모니터링하고 있으며 최근 미국 제재로 인해 그룹이 일시적으로 중단한 인기 혼합 서비스인 Tornado Cash를 통해 자금 세탁을 시도한 Lazarus의 노력에 대한 보고서를 업데이트했습니다. Elliptic의 공동 창업자인 Tom Robinson은 이번 주 Recorded Future News에 해커들이 돌아와 엄청난 양의 세탁을 하고 있다고 말했습니다.
로빈슨은 “라자루스가 저지른 이번 해킹으로 인해 토네이도 캐시를 통해 세탁된 금액이 이제 1억 달러에 이르렀습니다.”라고 말했습니다.