Sommario
Gli USA sono in prima linea nella lotta contro il cybercrimine legato alla Corea del Nord, offrendo ricompense significative per informazioni sui principali attori coinvolti. In questo contesto, due recenti sviluppi evidenziano l’importanza e l’urgenza di affrontare questa minaccia: l’accusa contro il gruppo Andariel e l’offerta di una ricompensa per informazioni su un hacker nordcoreano collegato agli attacchi ransomware Maui.
Il gruppo Andariel e l’Indagine degli Stati Uniti
Gli Stati Uniti hanno accusato il gruppo di hacker nordcoreani Andariel di essere coinvolto in attacchi ransomware, in particolare contro infrastrutture critiche e organizzazioni sanitarie. Uno degli hacker, identificato come Rim Jong Hyok, è stato accusato di cospirazione per commettere hacking informatico e riciclaggio di denaro. È stato emesso un mandato di arresto federale contro Hyok nel distretto del Kansas.
Le indagini hanno collegato il gruppo Andariel a numerosi incidenti di ransomware che hanno colpito due basi dell’aeronautica statunitense, cinque fornitori di servizi sanitari, quattro appaltatori della difesa con sede negli Stati Uniti e l’Ufficio dell’Ispettore Generale della NASA. Gli attacchi hanno criptato i computer e i server utilizzati per i test medici e i registri elettronici dei pazienti, interrompendo i servizi sanitari. I pagamenti dei riscatti sono stati utilizzati per finanziare operazioni di cyber attacco contro enti governativi statunitensi e appaltatori della difesa, sia negli Stati Uniti che all’estero.
Offerta di ricompensa per informazioni su Rim Jong Hyok
Il Dipartimento di Stato degli Stati Uniti offre una ricompensa fino a 10 milioni di dollari per informazioni che possano aiutare a catturare Rim Jong Hyok. Questo è parte del programma Rewards for Justice (RFJ), che offre ricompense per informazioni sugli attori delle minacce che mirano alla sicurezza nazionale degli Stati Uniti.
Hyok e altri operativi di Andariel sono stati collegati agli attacchi ransomware Maui, che hanno preso di mira infrastrutture critiche e organizzazioni sanitarie negli Stati Uniti. Gli attacchi hanno criptato i computer e i server, causando interruzioni significative nei servizi sanitari e utilizzando i pagamenti dei riscatti per finanziare ulteriori operazioni di cyber attacco.
Le autorità statunitensi hanno anche istituito un server Tor SecureDrop dedicato per inviare segnalazioni su Andariel o altri gruppi di minacce ricercati. Questo server offre un canale sicuro per fornire informazioni che potrebbero portare all’arresto degli hacker coinvolti.
Collaborazione internazionale e Avvisi di Sicurezza
CISA e l’FBI, in collaborazione con le agenzie di cybersicurezza del Regno Unito e della Corea del Sud, hanno emesso un avviso congiunto riguardante il gruppo di hacker Andariel, noto anche come APT45, Onyx Sleet, DarkSeoul, Silent Chollima, e Stonefly/Clasiopa. Questo gruppo è collegato al 3° Ufficio del Bureau di Ricognizione Generale della Corea del Nord (RGB).
L’avviso evidenzia che Andariel si concentra sul furto di informazioni militari sensibili e proprietà intellettuale di organizzazioni nei settori della difesa, aerospaziale, nucleare e ingegneristico. Le informazioni mirate includono specifiche contrattuali, distinte base, dettagli di progetto, disegni di progettazione e documenti ingegneristici, che hanno applicazioni sia militari che civili.
Mandiant ha identificato Andariel/APT45 come una delle operazioni di cyber attacco più longeve della Corea del Nord, risalente al 2009. Nel 2019, il gruppo ha preso di mira numerose centrali nucleari e strutture di ricerca, tra cui la centrale nucleare di Kudankulam in India.
Le recenti azioni contro il gruppo Andariel e l’offerta di una ricompensa per informazioni su Rim Jong Hyok dimostrano l’impegno degli Stati Uniti nella lotta contro il cybercrimine nordcoreano. La collaborazione internazionale e l’uso di tecnologie avanzate per la raccolta di informazioni sono strumenti cruciali per contrastare queste minacce e proteggere la sicurezza nazionale e le infrastrutture critiche.
