Le département d’État américain offre une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information pouvant conduire à l’identification ou à la localisation d’un pirate informatique militaire nord-coréen identifié comme Rim Jong Hyok.

Membre du groupe de pirates informatiques nord-coréen Andariel, Hyok et d'autres agents d'Andariel étaient liés aux attaques de ransomware Maui ciblant des infrastructures critiques et des organisations de soins de santé à travers les États-Unis.

Hyok a été accusé de complot en vue de commettre un piratage informatique et de complot en vue de commettre un blanchiment d'argent promotionnel. un mandat d'arrêt fédéral a été émis devant le tribunal de district des États-Unis, district du Kansas, mercredi.

Jusqu'à présent, les forces de l'ordre américaines enquêtant sur leurs attaques ont lié les pirates informatiques nord-coréens à des incidents de ransomware qui ont touché deux bases de l'armée de l'air américaine, cinq prestataires de soins de santé, quatre sous-traitants de la défense basés aux États-Unis et le bureau de l'inspecteur général de la National Aeronautics and Space Administration.

« Rim et d'autres ont conspiré pour pirater les systèmes informatiques des hôpitaux américains et d'autres prestataires de soins de santé, installer le ransomware Maui et extorquer des rançons », a déclaré le département d'État. dit.

« Les attaques de ransomware ont chiffré les ordinateurs des victimes et les serveurs utilisés pour les tests médicaux ou les dossiers médicaux électroniques et ont perturbé les services de santé. Ces cyberacteurs malveillants ont ensuite utilisé les paiements de rançon pour financer des cyberopérations malveillantes ciblant des entités gouvernementales américaines et des sous-traitants de la défense américains et étrangers, entre autres. »

Lors d'un incident de ce type survenu en novembre 2022, des pirates informatiques d'Andariel ont piraté le réseau d'un sous-traitant de la défense américain et ont volé plus de 30 gigaoctets de données, notamment des informations non classifiées sur des avions et des satellites militaires, dont une grande partie datait de 2010 ou d'avant.

Ces récompenses sont fournies via le programme Rewards of Justice (RFJ), un programme du département d’État américain qui offre des récompenses pour des informations sur les acteurs de la menace ciblant la sécurité nationale américaine.

Le Département d’État a également mis en place un serveur Tor SecureDrop dédié pour soumettre des informations sur les pirates informatiques d'Andariel ou d'autres groupes de menaces recherchés et acteurs malveillants.

Aujourd'hui, la CISA et le FBI (en partenariat avec les agences de cybersécurité du Royaume-Uni et de la République de Corée) ont également publié une conseil conjoint à propos de ce groupe de pirates informatiques, connu sous les noms d'APT45, Onyx Sleet, DarkSeoul, Silent Chollima et Stonefly/Clasiopa et lié au 3e Bureau du Bureau général de reconnaissance de la Corée du Nord (RGB).

Selon cet avis, Andariel se concentre sur le vol « d'informations militaires sensibles et de la propriété intellectuelle des organisations de défense, de l'aérospatiale, du nucléaire et de l'ingénierie ».

« Les informations ciblées – telles que les spécifications des contrats, les nomenclatures, les détails du projet, les dessins de conception et les documents d'ingénierie – ont des applications militaires et civiles et conduisent les agences d'auteur à évaluer l'une des principales responsabilités du groupe comme étant de satisfaire aux exigences de collecte pour les programmes nucléaires et de défense de Pyongyang », ont ajouté les agences d'auteur.

Ce groupe de pirates informatiques est considéré comme une menace permanente pour un large éventail de secteurs industriels à travers le monde, et il est conseillé à toutes les organisations d'infrastructures critiques de mettre en œuvre les mesures d'atténuation recommandées dans l'avis d'aujourd'hui.

Jeudi, Mandiant taggué Andariel/APT45 Il s'agit de l'une des cyberopérations les plus longues de la Corée du Nord, remontant à 2009. En 2019, elle a ciblé plusieurs centrales nucléaires et installations de recherche, dont la centrale nucléaire indienne de Kudankulam.