북 해커 동원 전세계 금융기관 해킹 1조원 대 탈취 시도 'VIDEO: Desperate' North Korea turns to APT hack attacks for cash
'Desperate' North Korea turns to APT hack attacks for cash
State-sponsored hacking meets financial acquisition with APT38
By Shaun Nichols in San Francisco 3 Oct 2018
A new state-sponsored attack from North Korea is being seen as an effort by the cash-strapped dictatorship to raise funds by exploiting foreign banks.
Researchers with FireEye say that a new attack targeting banks, dubbed APT38*, is a billion-dollar money grab from a new group of North Korean actors separate from the infamous Lazarus group.
The Hacker News
북 해커 동원 전세계 금융기관 해킹 1조원 대 탈취 시도 美보안기업 "미국·멕시코 등 최소 11國 금융기관·NGO 해킹 2014년부터 수억달러 北 빼돌려 한국 가던 돈 가로채기도" 북한이 지난 4년간 금융기관 해킹으로 외화를 탈취하는 금융 전문 해커 조직을 운영해온 사실이 3일(미국 시각) 처음으로 공개됐다. 미국 보안업계가 'APT (Advanced Persistent Threat·지능형 지속 보안 위협) 38'이라고 이름 붙인 이 조직은 미국·멕시코·브라질·러시아·베트남 등 최소 11국의 주요 금융기관과 NGO(비정부기구)를 해킹했고 11억달러(약 1조2300억원)어치 외화 탈취를 시도해 수억달러를 북한으로 빼돌린 것으로 확인됐다. 3일 미국 워싱턴D.C.에서 열린 '사이버 디펜스 서밋'에서 보안 기업 파이어아이의 샌드라 조이스 부사장은 "APT38은 전 세계에서 규모가 가장 크고 위협적인 해커 조직"이라며 "이들은 유엔 안보리 대북 제재(2013년 3월) 이후 약 1년 뒤인 2014년 2월부터 본격 활동에 들어간 것으로 나타났다"고 말했다. 미 연방수사국(FBI)을 비롯한 각국 정보·수사기관은 이미 APT38의 존재를 확인하고 파이어아이와 함께 이들의 활동을 추적하고 있다고도 덧붙였다. 재클린 오리어리 파이어아이 수석 연구원은 "실명을 공개할 수 없는 한 국제 NGO(비정부기구)가 한국으로 송금하려던 돈을 중간에서 해킹해 빼가기도 했다"면서 "북한이 한국 금융기관의 송금 관련 데이터를 상당 수준 수집한 것도 확인했다"고 말했다. 미국에 본사를 둔 파이어아이는 기업과 공공 기관 전용 보안 프로그램을 개발하는 글로벌 보안 기업으로 포브스 선정 2000대 기업 중 절반이 이 회사 프로그램을 사용하고 있다. 이번 발표는 파이어아이와 정보기관이 APT38의 공격을 받은 기관 전산망을 분석하는 과정에서 나왔다. 파이어아이는 APT38이 지난해 5월 세계 150여국 30여만대 컴퓨터를 감염시킨 '워너크라이' 공격의 배후로 지목된 북한의 해커 조직 라자루스와는 다른 조직이라고 밝혔다. 파이어아이는 APT38의 소행으로 추정되는 해킹은 베트남 TP은행(2015년), 방글라데시 중앙은행(2016년), 대만 파 이스턴 국제은행 해킹(2017년)과 올해 1월 방코멕스트(멕시코), 5월 방코데칠레(칠레) 해킹까지 총5건이라고 밝혔다. 또 국제 NGO 두 곳도 피해를 입었다고 덧붙였다. 파이어아이 관계자는 "주요 기관들이 해킹당한 사실을 공개하기를 꺼린다는 점을 감안하면 실제 해킹 시도와 피해 규모는 훨씬 더 클 것"이라고 말했다. 파이어아이 측은 북한 소행으로 추정한 이유로 평양과 중국의 IP(인터넷 주소)가 APT38의 악성 코드에서 발견된 점, 지난달 미 법무부가 기소한 북한 해커 박진혁이 해킹 프로그램 개발을 도운 흔적이 발견된 점을 들었다. 파이어아이 관계자는 "북한 정찰총국 소속 해킹 연구 기관 '110호 연구소'가 APT38에 기술 지원을 하는 것으로 추정된다"고 말했다. 이들은 장기간 특정 대상을 표적으로 삼고 금융기관만 노린다는 점에서 불특정 다수의 사이트에 대해 광범위한 공격을 가하는 라자루스와 다르다. 파이어아이 조사에 따르면 APT38은 평균 155일 동안 은행 전산망에 잠입해 보안 시스템을 분석하고 은행별 맞춤 해킹 프로그램을 만들었다. 이후 피해 은행이 해외 송금을 할 때 사용하는 은행 간 송금망을 해킹해 돈을 빼냈다. 돈세탁을 위해 다른 국가 전산망을 중간에 이용하고, 흔적을 없애기 위해 피해 은행 전산망 전체를 파괴하는 지능적 수법도 썼다. APT38은 한 기관에 최장 2년 잠복하기도 했다. 북한 해커그룹 Security Affairs 파이어아이 관계자는 "APT38은 한 번에 동시에 여러 금융기관을 공격할 능력을 갖췄다"면서 "북한의 재정난이 외교적으로 해결되지 않는 한 금융기관에 대한 해킹 시도는 계속 될 것"이라고 말했다. *APT38(지능형지속보안위협 38호) 금융기관을 해킹해 외화를 탈취하려는 목적으로 만들어진 북한의 새로운 해커 조직. 보안업계는 이름을 밝히지 않는 해커 조직을 발견하면 이렇게 APT(Advanced Persistent Threat)와 숫자로 이름을 붙인다. 예컨대 APT33(이란에 거점을 둔 해커 조직), ATP29(러시아 조직)와 같은 식이다. 해커 조직명의 APT는 장기간에 걸쳐 타깃을 분석·공격하는 치밀한 해킹 수법을 일컫는다. 워싱턴=임경업 기자 조선일보 출처 : http://news.chosun.com/site/data/html_dir/2018/10/04/2018100400265.html |
edited by kcontents
According to FireEye, the APT38 group is apparently operating as a subset of a larger North Korean hacking operation known as TEMP.Hermit. The bank-focused group is now thought to be behind North Korean attacks including the 2016 Bank of Bangladesh heist and the 2018 Banco de Chile attack, incidents that had previously only been believed to have been TEMP.Hermit operations.
As a result, researchers have had to reassess their picture of North Korea's hacking operation, finding the entire operation to actually be the work of a number of increasingly specialised operations.
edited by kcontents
In the case of APT38, the operation consists of individuals that come from 16 different government organisations and operate in at least 11 different countries. The group specialises in extracting huge sums of cash from banks via the SWIFT transaction system, often using sophisticated attacking tools that had previously been reserved for attacks on governments for espionage operations.
"APT38 executes sophisticated bank heists typically featuring long planning, extended periods of access to compromised victim environments preceding any attempts to steal money, fluency across mixed operating system environments, the use of custom developed tools, and a constant effort to thwart investigations capped with a willingness to completely destroy compromised machines afterwards," FireEye said.
Those nukes won't fund themselves
Why the use of such sophisticated and intricate operations just to attack banks? FireEye said it believed the political pressure and economic sanctions that have piled up against Pyongyang over the years have made the country go to great lengths to obtain new cash infusions.
Absent other ways to bring in funds, North Korea has now resorted to using its hacking resources to divert cash from other countries.
"Increasingly heavy and pointed international sanctions have been levied on North Korea following the regime's continued weapons development and testing," FireEye explained.
"The pace of APT38 activity probably reflects increasingly desperate efforts to steal funds to pursue state interests, despite growing economic pressure on Pyongyang."
The researchers don't expect the attacks to let up any time soon, either. Despite outreach efforts from the Trump administration and increased pressure by the US Department of Justice to crack down on individual hackers, the APT38 group is showing no signs of letting up.
"Based on the large scale of resources and vast network dedicated to compromising targets and stealing funds over the last few years, we believe APT38’s operations will continue in the future," said FireEye.
"In particular, the number of SWIFT heists that have been ultimately thwarted in recent years coupled with growing awareness for security around the financial messaging system could drive APT38 to employ new tactics to obtain funds especially if North Korea’s access to currency continues to deteriorate." ®
* In infosec terms, an acronym for "advanced persistent threat" - a sustained attack by a team of bad actors on a network/s which remains undetected for a long period of time, sometimes years (usually well-funded, sometimes by a state, so the group can remain, er, "persistent").
https://www.theregister.co.uk/2018/10/03/north_korea_tcash/
kcontents
