联邦检察官周四宣布,一名朝鲜军事情报人员因密谋入侵美国医疗服务提供商、美国国家航空航天局(NASA)、美国军事基地和国际实体,窃取敏感信息并安装勒索软件以资助更多攻击而被起诉。
堪萨斯州堪萨斯城的一个大陪审团对 Rim Jong Hyok 提起公诉,指控他通过一家中国银行洗钱,然后用这笔钱购买计算机服务器,资助对全球国防、技术和政府实体的更多网络攻击。
官员们说,对美国医院和其他医疗机构的黑客攻击破坏了对病人的治疗。他被指控针对美国 11 个州的 17 个实体,包括美国国家航空航天局(NASA)和美国军事基地,以及中国、台湾和韩国的国防和能源公司。
起诉书称,在三个多月的时间里,Rim 和朝鲜侦察总局 Andariel 部队的其他成员进入了 NASA 的计算机系统,提取了超过 17 千兆字节的非机密数据。当局称,他们还进入了密歇根州和加利福尼亚州国防公司的计算机系统,以及得克萨斯州的伦道夫空军基地和佐治亚州的罗宾斯空军基地。
联邦检察官说,这些恶意软件使国家支持的 Andariel 组织能够将窃取的信息发送给朝鲜军事情报机构,从而推进朝鲜的军事和发展核武的进程。联邦调查局的一位高级官员说,他们的目标是战斗机、导弹防御系统、卫星通信和雷达系统的细节。
美国联邦调查局驻堪萨斯城特工斯蒂芬-赛勒斯(Stephen A. Cyrus)说:"虽然朝鲜利用这类网络犯罪规避国际制裁,并为其政治和军事野心提供资金,但这些肆无忌惮的行为对堪萨斯州公民造成了直接影响。"
网上法庭记录没有列出Rim的律师,根据法庭记录,他曾在朝鲜居住,并在平壤和新义州的军事情报机构办公室工作过。如果有人提供线索,揭露他或其他以美国重要基础设施为目标的外国政府特工,最高可获得 1000 万美元的悬赏。
美国司法部起诉了多起与朝鲜黑客攻击有关的案件,通常指控朝鲜网络犯罪分子有别于俄罗斯和中国黑客的利益驱动动机。例如,2021 年,司法部指控三名朝鲜计算机程序员参与了一系列黑客活动,包括针对一家美国电影制片厂的破坏性攻击,以及企图从世界各地的银行和公司盗窃和勒索超过 13 亿美元。
在这起案件中,堪萨斯州一家医疗中心于 2021 年 5 月遭到黑客攻击,并向联邦调查局发出警报。黑客对其文件和服务器进行了加密,阻止了对病人文件、实验室检测结果和操作医院设备所需的计算机的访问。科罗拉多州的一家医疗服务提供商也受到了同样的"毛伊岛"勒索软件变种的影响。
寄往堪萨斯州医院的赎金清单要求将价值约 10 万美元的比特币支付到一个加密货币地址。
"否则,您的所有文件都将被公布在互联网上,这可能会导致您声誉受损,并给您的业务带来麻烦,"说明中写道。"请不要浪费时间!您只有 48 小时!在此之后,主服务器将加倍收取您的费用"。
联邦调查人员说,他们通过追踪区块链来追踪这笔钱:一名未具名的同谋将比特币转移到属于两名香港居民的虚拟货币地址,然后再兑换成中国货币并转移到一家中国银行。根据法庭记录,这笔钱随后被从连接中国和朝鲜的中朝友谊大桥旁的中国自动取款机上取走。
2022 年,司法部称联邦调查局从洗钱账户中扣押了约 50 万美元的赎金,其中包括医院支付的全部赎金。
网络安全公司 Recorded Future 的分析师艾伦-利斯卡(Allan Liska)表示,逮捕里姆的可能性不大,因此起诉的最大结果是可能会导致制裁,削弱朝鲜以这种方式收取赎金的能力,这反过来又会消除朝鲜今后对医院等实体进行网络攻击的动机。
"现在,不幸的是,这将迫使他们进行更多的加密货币盗窃。因此,这并不能阻止他们的活动。但我们的希望是,医院不会再受到勒索软件攻击的干扰,因为他们会知道自己拿不到钱,"Liska 说。
他还指出,受害者中甚至包含一个中国实体,并质疑作为朝鲜盟友的中国对成为袭击目标有何看法。他说:"中国不会对此感到太激动。"