首尔地方警察厅安全搜查支援部[高级安全搜查部]

首尔警察局安全调查支援部门正在与美国联邦调查局（FBI）合作，追踪朝鲜黑客组织“Andariel”入侵国内国防工业等目标，窃取重要军事技术资料并要求支付比特币赎金，然后通过外籍女性A的银行账户洗钱并将资金汇往朝鲜的情况。警方正在进行全面的调查。

警方通过多角度的调查，包括查封国内服务器和虚拟资产交易所，搜查外籍女性A的住所，以及对手机、笔记本电脑进行数字取证，来揭示朝鲜黑客组织的犯罪手法。

此外，警方正在扩大调查范围，涉及国内外勒索软件受害公司三家，他们在计算机系统恢复费用的名义下被骗取了价值约4亿7千万韩元的比特币。其中一部分比特币据推测经过海外虚拟资产交易所后被洗钱并发送到朝鲜。警方正在加大对涉嫌参与洗钱的外籍女性A的调查力度。

事件特点和启示

1. 黑客的IP地址位于朝鲜民主主义人民共和国平壤的”柳京东(Ryugyong-dong)”

– 在与美国联邦调查局（FBI）合作追踪北朝鲜黑客组织“Andariel”时，经过对黑客使用的谷歌邮件帐户进行调查，揭示了黑客利用不明身份的用户租用国内服务器租赁公司来避免调查机构的追踪，并将其用作黑客的基地。调查发现，该服务器从2022年12月至2023年3月期间共被平壤的”柳京东”访问了83次。

* <柳京东(Ryugyong-dong)>是平壤市内的著名景点，坐落着朝鲜最高层的柳京饭店和柳京体育馆，国际电信公司和平壤信息中心等机构也在此设有办公地点。

2. 尽管泄露了大量机密信息，但受害公司仍未察觉到被黑客攻击

– 警方进行了多次通信监察，通过查封国内租用服务器和谷歌等国内外电子邮件（服务器用户信息），以及对服务器用户信息进行调查，共计40余次通信监察，确认了黑客入侵了国防工业、研究所、制药公司等企业，不仅窃取了OO型重要军事技术资料，还窃取了租用服务器用户的帐户用户名和密码等信息。

– 警方揭示了被窃取的文件总量估计为1.2TB，其中包含可能包含重要技术和信息的内容，并通知了相关公司，但仍有一些公司未意识到受到攻击，部分公司由于担心降低企业信誉而没有向警方报案。

3. 揭示了以比特币洗钱的勒索软件获利路径

– 此外，警方还分析了“Andariel”传播的恶意勒索软件的“赎金”流程，包括受害公司支付的比特币的流向，通过获得来自国内外交易所的交易记录等。

* <勒索软件>感染计算机系统后，威胁受害公司支付赎金以解密计算机系统的内容。

被窃取的比特币部分款项通过外国女性A的账户，被转账至中国河南省的一家中国K银行，金额约为63万元人民币（约合1亿韩元）。由于这笔钱在位于朝鲜与中国交界地区的K银行分支机构取款，警方怀疑该资金流向了朝鲜。

– 因此，警方对A女士进行了调查，同时进行了对她的金融账户、手机、住所等的同时搜查，扣押了约5万件水果，以调查她是否参与了Andariel的洗钱活动。

<A女士的陈述> A女士否认涉及任何犯罪活动，表示她以前曾在一家位于兴京的外汇兑换公司工作，只是为了方便而提供了自己的账户。

预防措施和后续计划

– 首尔警察厅安全调查支援处将积极与美国联邦调查局等相关机构合作，对本案中确认的海外攻击和受害地点、相关人员进行联合调查。同时，他们还计划继续调查可能发生的其他受害案例和类似的黑客尝试。与此同时，他们强调了进一步防范措施，如加强对受害企业的安全漏洞检查、升级安全软件到最新版本、加密重要计算机数据等。此外，他们还向国内服务器租赁公司等提供了安全建议，包括关闭不再使用的端口和更改密码模式。

– 此外，由于目前仍有一些用户的身份不明确，但仍可以租用服务器，因此计划对相关服务器租赁公司进行持续的调查。

□ 可提供的资料：①勒索软件事件概况图 ②黑客攻击和数据窃取概况图