Die Lazarus Group (auch bekannt als "Guardians" oder "Peace or Whois Team") ist eine Hackergruppe, deren Mitgliederanzahl unklar ist und die angeblich von der nordkoreanischen Regierung kontrolliert wird.
Obwohl das Wissen über die Gruppe begrenzt ist, haben Forscher seit 2010 mehrere Cyberangriffe ihnen zugeschrieben.
Die Gruppe wurde ursprünglich als kriminelle Bande betrachtet, hat sich aber aufgrund ihrer Angriffsmuster, der verursachten Bedrohungen und der Vielzahl von Methoden, die sie bei ihren Operationen verwenden, zu einer Organisation des fortgeschrittenen anhaltenden Bedrohungs (APT)-Typs entwickelt.
Cybersicherheitsagenturen haben ihnen viele Spitznamen gegeben, wie "Hidden Cobra" (dieser Begriff wird vom US-Heimatschutzministerium verwendet, um nordkoreanische staatlich geförderte böswillige Cyberaktivitäten zu kennzeichnen), sowie "ZINC" oder "Diamond Sleet" (wie von Microsoft genannt). Laut dem nordkoreanischen Deserteur Kim Kuk-song wird die Gruppe in Nordkorea als "414 Contact Office" bezeichnet.
Die Lazarus Group hat enge Verbindungen zu Nordkorea. Das US-Justizministerium erklärte, dass die Gruppe Teil der Strategie der nordkoreanischen Regierung ist, mit dem Ziel, "die globale Cyber-Sicherheit zu untergraben... und illegale Einkünfte durch Verletzung von Sanktionen zu erzielen."
Nordkorea kann durch Cyber-Aktionen zahlreiche Vorteile erlangen, indem es nur ein sehr schlankes Team unterhält, das eine "globale" asymmetrische Bedrohung darstellt (insbesondere gegen Südkorea).
Entwicklungsgeschichte
Der früheste bekannte Angriff der Gruppe fand zwischen 2009 und 2012 im Rahmen der "Operation Troy" statt. Dies war eine Cyber-Spionageaktivität, bei der sie relativ einfache Distributed-Denial-of-Service (DDoS)-Techniken anwendeten, wobei die südkoreanische Regierung in Seoul als Ziel ausgewählt wurde. Auch 2011 und 2013 führten sie Angriffe durch.
Obwohl es nicht sicher ist, könnte auch ein Angriff im Jahr 2007 auf Südkorea von ihnen durchgeführt worden sein. Ein bekannter Angriff der Gruppe fand 2014 statt und richtete sich gegen Sony Pictures. Dieser Angriff verwendete komplexere Techniken und zeigte, dass die Gruppe im Laufe der Zeit immer reifer wurde.
Berichten zufolge stahl die Lazarus Group im Jahr 2015 12 Millionen US-Dollar von der Ostero Bank in Ecuador und 1 Million US-Dollar von der Pioneer Bank in Vietnam. Sie hatten auch Banken in Polen und Mexiko als Ziele.
Im Bankraub von 2016 griffen sie eine Bank an und stahlen erfolgreich 81 Millionen US-Dollar; dieser Vorfall wird ebenfalls als von der Gruppe begangen angesehen.
Im Jahr 2017 wurde berichtet, dass die Lazarus Group 60 Millionen US-Dollar von der International Commercial Bank of Taiwan gestohlen hat, jedoch ist der tatsächliche Betrag unklar und ein Großteil der Mittel wurde zurückgeholt.
Es ist derzeit unklar, wer die wahren Drahtzieher der Gruppe sind, aber Medienberichte weisen auf enge Verbindungen zu Nordkorea hin.
Im Jahr 2017 berichtete Kaspersky Lab, dass die Lazarus Group dazu neigt, sich auf Spionage- und Infiltrationstyp-Angriffe zu konzentrieren, während eine interne Untergruppe, die von Kaspersky als "Bluenoroff" bezeichnet wird, sich speziell mit finanziellen Cyberangriffen beschäftigt. Kaspersky stellte weltweit viele Angriffe fest und entdeckte eine direkte IP-Adresse-Verbindung zwischen Bluenoroff und dem betreffenden Land.
Kaspersky räumte jedoch ein, dass die Wiederverwendung des Codes eine "False-Flag-Operation" sein könnte, um die Ermittler in die Irre zu führen und Nordkorea die Schuld zu geben, da der "WannaCry"-Wurmangriff weltweit Techniken der National Security Agency kopierte.
Diese Ransomware nutzte die "EternalBlue"-Schwachstelle der National Security Agency der USA aus. Im April 2017 machte eine Hackergruppe namens "Shadow Brokers" diese Schwachstelle öffentlich. 2017 berichtete Symantec, dass der "WannaCry"-Angriff höchstwahrscheinlich von der Lazarus Group durchgeführt wurde.
2009 "Operation Troy"
Der erste bedeutende Hackerangriff der Lazarus Group fand am 4. Juli 2009 statt und markierte den Beginn der "Operation Troy". Dieser Angriff nutzte die Malware "MyDoom" und "Pushdo" für großflächige, wenn auch nicht komplexe DDoS-Angriffe auf US- und südkoreanische Websites. Diese Angriffswelle richtete sich gegen etwa 36 Websites und hinterließ den Text "Independence Day Memorial" in der Master Boot Record (MBR).
Cyberangriff auf Südkorea im Jahr 2013 ("Operation 1" / "Dark Seoul"-Operation)
Im Laufe der Zeit wurden die Angriffsmethoden der Gruppe zunehmend komplexer; ihre Techniken und Werkzeuge wurden reifer und effektiver. Der "Ten-Day Rain"-Angriff im März 2011 richtete sich gegen südkoreanische Medien, Finanz- und kritische Infrastrukturen und verwendete komplexere DDoS-Angriffe, die von in Südkorea kompromittierten Computern ausgingen. Am 20. März 2013 startete die "Dark Seoul"-Operation, einen Datenlöschangriff, der sich gegen drei südkoreanische Rundfunkanstalten, Finanzinstitute und einen Internetdienstanbieter richtete. Zu diesem Zeitpunkt erklärten zwei andere Gruppen, die sich "New Roman Network Legion" und "WhoIs Team" nannten, dass sie für diesen Angriff verantwortlich seien, aber Forscher wussten damals nicht, dass die Hauptverantwortlichen die Lazarus Group waren. Heute wissen die Forscher, dass die Lazarus Group die Hauptverantwortlichen für diese destruktiven Angriffe war.
Ende 2014: Sony Pictures wurde gehackt
Am 24. November 2014 erreichte der Angriff der Lazarus Group seinen Höhepunkt. An diesem Tag erschien ein Beitrag auf Reddit, in dem behauptet wurde, dass Sony Pictures durch unbekannte Mittel gehackt worden war, und die Angreifer nannten sich "Guardians of Peace". Eine große Menge an Daten wurde gestohlen und in den Tagen nach dem Angriff allmählich veröffentlicht. Eine Person, die sich als Mitglied der Gruppe ausgab, erklärte in einem Interview, dass sie seit mehr als einem Jahr Daten von Sony gestohlen hätten.
Die Hacker konnten auf unveröffentlichte Filme, Teile von Film-Drehbüchern, zukünftige Filmpläne, Gehaltsinformationen von Unternehmensleitern, E-Mails und persönliche Daten von etwa 4000 Mitarbeitern zugreifen.
Untersuchung Anfang 2016: "Operation Bronze Bomber"
Unter dem Codenamen "Operation Bronze Bomber" bildete sich ein Konsortium von mehreren Sicherheitsunternehmen unter der Leitung von Novetta zur Analyse von Malware-Proben, die in verschiedenen Cyber-Sicherheitsvorfällen gefunden wurden. Mit diesen Daten analysierte das Team die Methoden der Hacker. Sie verbanden die Lazarus Group mit mehreren Angriffen durch Muster der Code-Wiederverwendung. Beispielsweise verwendeten sie einen im Internet wenig bekannten Verschlüsselungsalgorithmus - den "Karakas"-Algorithmus.
Bankraub im Jahr 2016
Im Februar 2016 gab es einen Bankraub. Sicherheits-Hacker gaben 35 betrügerische Anweisungen über das SWIFT-Netzwerk aus, um fast 1 Milliarde US-Dollar illegal von einem zentralen Bankkonto eines bestimmten Landes bei der Federal Reserve Bank of New York zu transferieren. Von den 35 betrügerischen Anweisungen wurden 5 erfolgreich im Wert von 101 Millionen US-Dollar transferiert, wobei 20 Millionen US-Dollar nach Sri Lanka und 81 Millionen US-Dollar auf die Philippinen gingen. Die Federal Reserve Bank of New York wurde aufgrund eines Schreibfehlers in einer der Anweisungen misstrauisch und stoppte die anderen 30 Transaktionen im Wert von 850 Millionen US-Dollar. Cybersicherheitsexperten geben an, dass die Drahtzieher dieses Angriffs die Lazarus Group aus einem bestimmten Land sind.
Der "WannaCry"-Ransomware-Angriff im Mai 2017
"WannaCry"-Angriff ist ein groß angelegter Ransomware-Netzwerkangriff, der am 12. Mai 2017 von der britischen National Health Service (NHS) bis hin zu Boeing und sogar einigen Universitäten in China zahlreiche Institutionen weltweit betroffen hat. Der Angriff dauerte 7 Stunden und 19 Minuten. Europol schätzte, dass der Angriff fast 200.000 Computer in 150 Ländern betraf, wobei die am stärksten betroffenen Regionen Russland, Indien, die Ukraine und Taiwan waren. Dies war einer der frühesten Angriffe mit einem Kryptowurm.
Kryptowurm ist eine Art von Malware, die sich über das Netzwerk zwischen Computern verbreitet, ohne dass der Benutzer direkt eingreifen muss - bei diesem Angriff nutzte sie den TCP-Port 445. Computer, die mit dem Virus infiziert sind, müssen keinen schädlichen Link anklicken, da sich die Malware automatisch verbreiten kann, von einem Computer zum verbundenen Drucker und dann zu anderen Computern in der Nähe, die mit dem WLAN verbunden sind. Die Schwachstelle des Ports 445 ermöglicht es der Malware, sich frei im internen Netzwerk zu verbreiten und Tausende von Computern schnell zu infizieren. Der "WannaCry"-Angriff war einer der ersten groß angelegten Angriffe, die einen Kryptowurm einsetzten.
Angriffsart: Der Virus nutzte eine Schwachstelle im Windows-Betriebssystem aus, verschlüsselte dann Daten auf dem Computer und forderte ein Lösegeld von etwa 300 US-Dollar in Bitcoin für den Entschlüsselungsschlüssel. Um die Opfer zur Zahlung zu motivieren, verdoppelte sich das Lösegeld drei Tage später, und wenn es innerhalb einer Woche nicht bezahlt wurde, würde die Malware die verschlüsselten Daten löschen.
Die Malware verwendete eine von Microsoft entwickelte legitime Software namens "Windows Crypto" zur Verschlüsselung von Dateien. Nach Abschluss der Verschlüsselung wird der Dateiname mit der Endung "Wincry" versehen, was den Namen "WannaCry" erklärt. "Wincry" ist die Grundlage der Verschlüsselung, aber die Malware nutzte auch zwei weitere Schwachstellen "EternalBlue" und "DoublePulsar", die sie zu einem Kryptowurm machten.
"EternalBlue" kann sich automatisch über Netzwerke verbreiten, während "DoublePulsar" den Virus auf dem Computer des Opfers aktiviert. Das bedeutet, dass "EternalBlue" den infizierten Link auf deinen Computer verbreitet, während "DoublePulsar" ihn für dich anklickt.
Der Sicherheitsforscher Marcus Hutchins erhielt einen Virus-Sample von einem Freund einer Sicherheitsforschungsfirma und entdeckte, dass der Virus einen "Antiviren-Schalter" hartkodiert hatte, um diesen Angriff zu stoppen. Diese Malware überprüfte regelmäßig, ob ein bestimmter Domain registriert wurde, und nur wenn dieser Domain nicht existierte, würde sie mit der Verschlüsselung fortfahren.
Hutchins entdeckte diesen Prüfmechanismus und registrierte das betreffende Domain um 15:03 UTC. Die Malware hörte sofort auf, sich zu verbreiten und neue Geräte zu infizieren. Dieses Szenario ist bemerkenswert und bietet Hinweise zur Verfolgung der Virusentwickler. Normalerweise erfordert das Stoppen von Malware monatelange Auseinandersetzungen zwischen Hackern und Sicherheitsexperten, doch hier war der Sieg so einfach, dass es unerwartet war. Ein weiteres bemerkenswertes Merkmal dieses Angriffs war, dass die Dateien nach Zahlung des Lösegeldes nicht wiederhergestellt werden konnten: Die Hacker erhielten nur 160.000 US-Dollar Lösegeld, was viele glauben ließ, dass ihr Ziel nicht Geld war.
"Antiviren-Schalter" wurde leicht umgangen und die Lösegeldgewinne waren gering, was viele glauben ließ, dass dieser Angriff staatlich unterstützt war; das Motiv war nicht wirtschaftlicher Natur, sondern Chaos zu stiften. Nach dem Angriff verfolgten Sicherheitsexperten, dass die "DoublePulsar"-Schwachstelle von der National Security Agency der USA stammt und ursprünglich als Cyberwaffe entwickelt wurde.
Später stahl die Hackergruppe "Shadow Brokers" diese Schwachstelle, versuchte zuerst sie zu versteigern, konnte jedoch keinen Erfolg erzielen und machte sie schließlich kostenlos öffentlich. Die National Security Agency der USA informierte Microsoft daraufhin über diese Schwachstelle, und Microsoft veröffentlichte am 14. März 2017 ein Update, weniger als einen Monat nach dem Angriff. Aber das war nicht genug, da das Update nicht obligatorisch war, waren bis zum 12. Mai die meisten Computer mit dieser Schwachstelle immer noch nicht gepatcht, was zu den beeindruckenden Schäden führte.
Nachhaltige Auswirkungen: Das US-Justizministerium und britische Behörden kamen später zu dem Schluss, dass der "WannaCry"-Angriff von der nordkoreanischen Hackergruppe Lazarus Group durchgeführt wurde.
Angriff auf Kryptowährungen im Jahr 2017
Im Jahr 2018 berichtete Recorded Future, dass die Lazarus Group mit Angriffen auf Benutzer von Kryptowährungen wie Bitcoin und Monero in Verbindung steht, die hauptsächlich auf koreanische Benutzer abzielten. Berichten zufolge waren diese Angriffe technisch ähnlich den vorherigen Angriffen unter Verwendung von "WannaCry"-Ransomware und den Angriffen auf Sony Pictures.
Eine der Methoden, die von den Hackern der Lazarus Group verwendet werden, ist die Ausnutzung von Sicherheitsanfälligkeiten in der südkoreanischen Textverarbeitungssoftware Hangul (entwickelt von Hancom). Eine andere Methode besteht darin, Phishing-Angriffe mit Malware zu senden, die sich gegen koreanische Studenten und Benutzer von Kryptowährungsbörsen wie Coinlink richten.
Wenn Benutzer die Malware öffnen, werden ihre E-Mail-Adresse und ihr Passwort gestohlen. Coinlink bestreitet, dass ihre Website oder die E-Mail-Adressen und Passwörter ihrer Benutzer gehackt wurden.
Der Bericht fasst zusammen: "Diese Reihe von Angriffen Ende 2017 zeigt, dass das Interesse eines bestimmten Landes an Kryptowährung wächst. Heute wissen wir, dass dieses Interesse eine breite Palette von Aktivitäten umfasst, einschließlich Mining, Ransomware-Angriffe und direkter Diebstahl..." Der Bericht weist auch darauf hin, dass das betreffende Land diese Kryptowährungsangriffe zur Umgehung internationaler Finanzsanktionen nutzt.
Im Februar 2017 stahlen Hacker aus einem bestimmten Land 7 Millionen US-Dollar von der südkoreanischen Kryptowährungsbörse Bithumb. Ein anderes südkoreanisches Bitcoin-Unternehmen, Youbit, musste im Dezember desselben Jahres nach einem Angriff im April wegen des Diebstahls von 17 % seiner Vermögenswerte Insolvenz anmelden.
Die Lazarus Group und Hacker eines bestimmten Landes werden als Drahtzieher dieser Angriffe bezeichnet. Im Dezember 2017 verlor der Cloud-Mining-Markt Nicehash über 4500 Bitcoins. Eine aktualisierte Untersuchung zeigt, dass dieser Angriff mit der Lazarus Group in Verbindung steht.
Angriff im September 2019
Im September 2019 gab die USA eine öffentliche Warnung heraus, dass eine neue Art von Malware namens "ElectricFish" entdeckt wurde. Seit Anfang 2019 haben Agenten eines bestimmten Landes weltweit 5 bedeutende Cyberdiebstähle durchgeführt, darunter den erfolgreichen Diebstahl von 49 Millionen US-Dollar von einer Einrichtung in Kuwait.
Angriff auf Pharmaunternehmen Ende 2020
Aufgrund der anhaltenden COVID-19-Pandemie wurden Pharmaunternehmen zu einem Hauptziel der Lazarus Group. Mitglieder der Lazarus Group nutzten Phishing-Techniken, um sich als Gesundheitsbeamte auszugeben und bösartige Links an Mitarbeiter von Pharmaunternehmen zu senden. Es wird angenommen, dass mehrere große Pharmaunternehmen Ziel der Angriffe wurden, aber derzeit ist nur das joint venture AstraZeneca mit dem britisch-schwedischen Unternehmen bestätigt.
Berichten von Reuters zufolge wurden zahlreiche Mitarbeiter zum Ziel des Angriffs, viele von ihnen waren an der Entwicklung des COVID-19-Impfstoffs beteiligt. Es ist derzeit unklar, was die Ziele der Lazarus Group bei diesen Angriffen waren, aber sie könnten Folgendes umfassen: den Diebstahl sensibler Informationen zur Gewinnmaximierung, die Durchführung von Erpressungsplänen und das Erlangen von proprietären Forschungsergebnissen zu COVID-19 durch ausländische Regierungen. AstraZeneca hat zu diesem Vorfall noch nicht Stellung genommen, Experten glauben, dass es derzeit keine sensiblen Datenlecks gibt.
Angriff auf Cybersicherheitsforscher im Januar 2021
Im Januar 2021 berichteten sowohl Google als auch Microsoft öffentlich, dass eine Gruppe von Hackern aus einem bestimmten Land durch soziale Ingenieurtechniken Cyberangriffe auf Cybersicherheitsforscher durchführte, wobei Microsoft ausdrücklich erklärte, dass dieser Angriff von der Lazarus Group durchgeführt wurde.
Die Hacker erstellten mehrere Benutzerprofile auf Plattformen wie Twitter, GitHub und LinkedIn und gaben sich als legitime Software-Sicherheitsforscher aus, um mit anderen in der Sicherheitsforschungs-Community zu interagieren. Anschließend kontaktieren sie gezielt bestimmte Sicherheitsforscher und versuchen, diese dazu zu verleiten, Dateien mit Malware herunterzuladen oder einen Blog auf von Hackern kontrollierten Websites zu besuchen.
Einige Opfer, die auf Blogartikel zugriffen, berichteten, dass ihre Computer trotz der Verwendung eines vollständig gepatchten Google Chrome-Browsers infiziert wurden, was darauf hindeutet, dass die Hacker möglicherweise einen zuvor unbekannten Chrome-0-Day-Fehler ausgenutzt haben; jedoch erklärte Google zum Zeitpunkt der Berichterstattung, dass es die genaue Art des Eindringens nicht bestimmen könne.
Angriff auf das Blockchain-Spiel Axie Infinity im März 2022
Im März 2022 wurde die Lazarus Group beschuldigt, Kryptowährungen im Wert von 620 Millionen US-Dollar aus dem Ronin-Netzwerk, das im Axie Infinity-Spiel verwendet wird, gestohlen zu haben. Das FBI erklärte: "Durch die Untersuchung bestätigten wir, dass die Lazarus Group und APT 38 (die mit Nordkorea assoziierten Cyberakteure) die Drahtzieher dieses Diebstahls sind."
Angriff auf Horizon Bridge im Juni 2022
Das FBI bestätigte, dass die nordkoreanischen Cyberkriminellen der Lazarus Group (auch bekannt als APT 38) die Drahtzieher des Vorfalls sind, bei dem am 24. Juni 2022 100 Millionen US-Dollar an virtueller Währung von Harmony's Horizon Bridge gestohlen wurden.
Andere verwandte Kryptowährungsangriffe im Jahr 2023
Ein Bericht der Blockchain-Sicherheitsplattform Immunefi stellte fest, dass die Lazarus Group im Jahr 2023 bei Angriffe auf Kryptowährungen einen Verlust von über 300 Millionen US-Dollar verursachte, was 17,6 % der Gesamtschäden des Jahres ausmachte.
Angriff auf Atomic Wallet im Juni 2023: Im Juni 2023 wurden den Nutzern des Atomic Wallet-Dienstes Kryptowährungen im Wert von über 100 Millionen US-Dollar gestohlen, was das FBI anschließend bestätigte.
Angriff auf Stake.com im September 2023: Im September 2023 bestätigte das FBI, dass 41 Millionen US-Dollar an Kryptowährung von der Online-Casino- und Glücksspielplattform Stake.com gestohlen wurden, und die Täter sind die Lazarus Group.
US-Sanktionen
Am 14. April 2022 wurde die Lazarus Group von dem US-Finanzministerium unter dem Abschnitt 510.214 der Sanktionen eines bestimmten Landes auf die Liste der speziell benannten Staatsangehörigen (SDN List) gesetzt.
Angriff auf Kryptowährungen im Jahr 2024
Berichten indischer Medien zufolge wurde eine lokale Kryptowährungsbörse namens WazirX von der Organisation angegriffen, wobei Kryptowassets im Wert von 234,9 Millionen US-Dollar gestohlen wurden.
Personalentwicklung
Es wird berichtet, dass einige nordkoreanische Hacker nach Shenyang, China, geschickt werden, um dort eine spezialisierte Ausbildung zu erhalten, um zu lernen, wie man verschiedene Malware in Computer, Computernetzwerke und Server einfügt. In Nordkorea führen die Kim Il Sung University, die Kim Chaek University of Technology und die Mangyongdae Revolutionary School diese Bildungsaufgaben durch, indem sie die besten Studenten aus dem ganzen Land auswählen, um eine spezielle sechsjährige Ausbildung zu erhalten. Neben der Hochschulbildung werden "einige der besten Programmierer... an die Mangyongdae Revolutionary School oder die Mirim Academy geschickt, um ihr Studium fortzusetzen."
Organisationszweige
Die Lazarus Group wird als bestehend aus zwei Zweigen angesehen.
BlueNorOff
BlueNorOff (auch bekannt als APT 38, "Starry Chollima", "BeagleBoyz", "NICKEL GLADSTONE") ist eine durch wirtschaftliche Interessen motivierte Organisation, die illegale Geldtransfers durch gefälschte SWIFT-Anweisungen durchführt. Mandiant bezeichnet sie als APT 38, Crowdstrike nennt sie "Starry Chollima".
Laut einem Bericht des US-Armee aus dem Jahr 2020 hat die BlueNorOff etwa 1700 Mitglieder, die sich auf die langfristige Bewertung und Ausnutzung von Netzwerkschwachstellen und -systemen konzentrieren, um Finanzkriminalität zu begehen, um wirtschaftliche Vorteile oder Kontrolle über relevante Systeme für das Land zu erlangen. Zwischen 2014 und 2021 umfassten ihre Ziele mindestens 16 Institutionen in 13 Ländern, darunter Bangladesch, Chile, Indien, Mexiko, Pakistan, die Philippinen, Südkorea, Taiwan, die Türkei und Vietnam. Es wird angenommen, dass diese illegalen Gelder zur Entwicklung von Raketentechnologie und Nukleartechnologie des Landes verwendet wurden.
Der berüchtigtste Angriff von BlueNorOff war der Bankraub im Jahr 2016, bei dem sie versuchten, über das SWIFT-Netzwerk fast 1 Milliarde US-Dollar illegal von dem Konto einer Zentralbank eines bestimmten Landes bei der Federal Reserve Bank of New York zu transferieren. Nachdem ein Teil der Transaktionen erfolgreich abgeschlossen wurde (20 Millionen US-Dollar gingen nach Sri Lanka, 81 Millionen US-Dollar flossen auf die Philippinen), wurde die Federal Reserve Bank of New York aufgrund eines Schreibfehlers in einer der Anweisungen misstrauisch und stoppte die restlichen Transaktionen.
Mit BlueNorOff verbundenes Malware umfasst: "DarkComet", "Mimikatz", "Nestegg", "Macktruck", "WannaCry", "Whiteout", "Quickcafe", "Rawhide", "Smoothride", "TightVNC", "Sorrybrute", "Keylime", "Snapshot", "Mapmaker", "net.exe", "sysmon", "Bootwreck", "Cleantoad", "Closeshave", "Dyepack", "Hermes", "Twopence", "Electricfish", "Powerratankba" und "Powerspritz".
Zu den häufig verwendeten Methoden von BlueNorOff gehören: Phishing, Hintertüren einrichten, Schwachstellenangriffe, Wasserlochangriffe, Ausführen von Code auf Systemen mit veralteten und unsicheren Versionen von Apache Struts 2, strategisches Eindringen in Websites und Zugreifen auf Linux-Server. Berichten zufolge arbeiten sie manchmal mit kriminellen Hackern zusammen.
AndAriel
AndAriel, auch als Andarial geschrieben, hat andere Namen: Silent Chollima, Dark Seoul, Rifle und Wassonite, die logisch darauf hinweisen, dass Südkorea das Ziel ist. Der andere Name von AndAriel, "Silent Chollima", stammt von der geheimen Natur der Gruppe. Jede Institution in Südkorea könnte von AndAriel angegriffen werden, wobei die Ziele Regierungsstellen, Verteidigungsbehörden und verschiedene wirtschaftliche Schlüsselunternehmen umfassen.
Laut einem Bericht des US-Armee aus dem Jahr 2020 hat die AndAriel-Gruppe etwa 1600 Mitglieder, deren Aufgabe es ist, Aufklärung durchzuführen, Netzwerkschwachstellen zu bewerten und ein Netzwerkdiagramm der feindlichen Netzwerke zu erstellen, um potenzielle Angriffe durchzuführen. Neben Südkorea zählen sie auch die Regierungen, Infrastrukturen und Unternehmen anderer Länder zu ihren Angriffszielen. Die Angriffsmethoden umfassen: Ausnutzung von ActiveX-Steuerelementen, Schwachstellen in südkoreanischer Software, Wasserlochangriffe, Phishing-Angriffe (Makrovirus-Methode), Angriffe auf IT-Managementprodukte (wie Antiviren-Software, Projektmanagement-Software), sowie Angriffe über die Lieferkette (Installations- und Update-Programme). Verwendete Malware umfasst: Aryan, Gh0st RAT, Rifdoor, Phandoor und Andarat.
Anklagen gegen beteiligte Personen
Im Februar 2021 verklagte das US-Justizministerium drei Mitglieder des nordkoreanischen Militärgeheimdienstes Reconnaissance General Bureau - Park Jin Hyok, Jon Chang Hyok und Kim Il Park - und beschuldigte sie, an mehreren Hackerangriffen der Lazarus Group (Lazarus) beteiligt gewesen zu sein. Park Jin Hyok war bereits im September 2018 angeklagt worden. Diese Verdächtigen sind derzeit nicht in US-Gewahrsam. Darüber hinaus wurden ein Kanadier und zwei Chinesen beschuldigt, als Geldtransporter und Geldwäscher für die Lazarus Group zu fungieren.