Cyberdreigingen ontwikkelen zich voortdurend, en Noord-Korea speelt hierin een prominente rol. Met een breed scala aan methoden richten Noord-Koreaanse actoren zich op financiële en strategische belangen wereldwijd. Microsoft Threat Intelligence onthulde tijdens CYBERWARCON 2024 nieuwe inzichten over deze dreigingen, variërend van cryptocurrency-diefstal tot spionage in de defensiesector. Dit artikel onderzoekt de nieuwste tactieken en trends, en biedt praktische tips voor organisaties om zich te beschermen.
Noord-Korea en cryptocurrency: een lucratieve inkomstenbron
Noord-Korea heeft de afgelopen jaren miljarden dollars aan cryptocurrency gestolen om zijn wapensprogramma's te financieren. Een van de meest actieve groepen, Sapphire Sleet, stal alleen al in zes maanden tijd meer dan 10 miljoen dollar. De tactieken van deze groep evolueren voortdurend, met een sterke focus op social engineering.
Social engineering: investeerders en recruiters als dekmantel
Sapphire Sleet maakt vaak gebruik van valse identiteiten. Zo doen ze zich voor als durfkapitalisten die geïnteresseerd zijn in investeringen. Ze regelen online meetings met slachtoffers en sturen schadelijke scripts zodra technische problemen worden gemeld. Deze scripts infecteren apparaten met malware, waarmee toegang wordt verkregen tot cryptocurrency-wallets.
Een andere methode is het zich voordoen als recruiter. Via platforms zoals LinkedIn benaderen de aanvallers slachtoffers met aantrekkelijke vacatures. Om de vaardigheden van kandidaten te testen, sturen ze slachtoffers naar een nepwebsite waar malware wordt gedownload. Deze tactieken tonen aan hoe geraffineerd Noord-Koreaanse actoren te werk gaan.
Defensiesector als doelwit: de tactieken van Ruby Sleet
Naast financiële winst richten Noord-Koreaanse actoren zich op de defensiesector. Ruby Sleet, een groep die sinds 2020 actief is, voert zeer doelgerichte aanvallen uit op organisaties die betrokken zijn bij ruimtevaart en wapensystemen.
Supply chain-aanvallen en malware met certificaten
Ruby Sleet onderscheidt zich door het uitvoeren van supply chain-aanvallen. Een recent voorbeeld is de compromittering van software bij een Zuid-Koreaans bouwbedrijf, waarbij malware werd verspreid via legitieme updates. Daarnaast ondertekenen ze malware met gestolen certificaten, waardoor deze moeilijker te detecteren is.
Deze aanvallen zijn vaak gericht op de diefstal van geavanceerde technologieën, zoals drones en raketsystemen, die kunnen worden ingezet om Noord-Korea's militaire capaciteiten te versterken.
Noord-Koreaanse IT-werkers: de stille infiltranten
Een minder bekende maar zeer effectieve strategie van Noord-Korea is het inzetten van IT-werkers. Deze professionals werken vaak vanuit Rusland en China, waar ze via freelanceplatforms opdrachten aannemen. Hoewel ze legitiem werk lijken te doen, brengen ze aanzienlijke risico’s met zich mee.
Het gevaar van AI-gegenereerde profielen
Noord-Koreaanse IT-werkers maken gebruik van AI-tools zoals Faceswap om hun identiteit te verhullen. Ze creëren professioneel ogende profielen en cv's, die ze inzetten op platforms zoals LinkedIn en GitHub. Uit onderzoek blijkt dat sommige foto's op meerdere profielen worden gebruikt, wat duidt op een goed georganiseerde operatie.
Naast identiteitsvervalsing gebruiken deze werkers hun toegang tot bedrijfsnetwerken om intellectueel eigendom en gevoelige gegevens te stelen. In sommige gevallen chanteren ze bedrijven door dreigen gegevens openbaar te maken.
Facilitators en complexe netwerken
De activiteiten van deze IT-werkers worden gefaciliteerd door tussenpersonen. Deze ‘facilitators’ helpen bij het aanmaken van accounts, het verkrijgen van bankgegevens en het opzetten van communicatiekanalen. Dit maakt het opsporen van deze actoren extra ingewikkeld.
De Chinese dreigingsactor Storm-2077
Naast Noord-Korea blijft ook China een belangrijke speler in cyberspionage. Microsoft onthulde de activiteiten van Storm-2077, een groep die sinds begin 2024 actief is. Deze groep richt zich op sectoren zoals overheid, defensie en telecom, met als primair doel het verzamelen van inlichtingen.
E-mails en cloudtoepassingen als toegangspoorten
Storm-2077 gebruikt phishing en geavanceerde technieken om toegang te krijgen tot e-mailsystemen en cloudomgevingen. Een van hun methoden is het stelen van inloggegevens via gehackte systemen. Zodra ze toegang hebben, creëren ze eigen applicaties met leesrechten voor e-mails, waarmee ze gevoelige informatie kunnen exfiltreren.
Deze informatie kan variëren van bedrijfsgeheimen tot inloggegevens van kritieke systemen. Het feit dat Storm-2077 zich richt op meerdere sectoren, maakt hen een universele dreiging.
De rol van AI in moderne cyberaanvallen
AI wordt steeds vaker ingezet door cybercriminelen om hun methoden te verfijnen. Noord-Koreaanse actoren gebruiken AI niet alleen voor identiteitsvervalsing, maar ook om aanvallen efficiënter te maken. Bijvoorbeeld door stemvervormingssoftware te gebruiken tijdens interviews. Hoewel deze technieken nog in ontwikkeling zijn, benadrukken ze de gevaren van snel evoluerende technologieën.
Bescherming tegen geavanceerde dreigingen
Organisaties kunnen zich beschermen tegen deze dreigingen door strategische maatregelen te nemen:
- Strengere wervingsprocedures: Controleer IT-kandidaten grondig. Vraag om live demonstraties van vaardigheden en voer identiteitscontroles uit.
- Bewustwordingstrainingen: Leer medewerkers verdachte activiteiten, zoals phishing en social engineering, te herkennen.
- Technologische oplossingen: Implementeer geavanceerde detectietools en voer regelmatig netwerkbeoordelingen uit.
- Samenwerking met autoriteiten: Volg richtlijnen van instanties zoals de FBI en Microsoft over het identificeren van verdachte IT-werkers en activiteiten.
De dreigingen vanuit Noord-Korea en China tonen de urgentie van proactieve cyberbeveiliging. Of het nu gaat om financiële diefstal, spionage of identiteitsfraude, organisaties moeten voorbereid zijn op steeds geavanceerdere methoden. Door bewustwording en technologie te combineren, kunnen bedrijven hun weerbaarheid vergroten.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Microsoft