Grupa Lazarus (znana również jako „Guardians” lub „Peace or Whois Team”) to organizacja hakerska składająca się z nieokreślonej liczby osób, która rzekomo jest kontrolowana przez rząd Korei Północnej.
Chociaż wiedza o tej organizacji jest ograniczona, od 2010 roku badacze przypisali im wiele ataków cybernetycznych.
Organizacja początkowo była grupą przestępczą, ale obecnie ze względu na swoje zamiary ataków, stwarzane zagrożenia oraz różnorodne metody działania, została uznana za organizację zaawansowanego trwałego zagrożenia.
Agencje bezpieczeństwa cybernetycznego nadały im wiele przydomków, takich jak „Hidden Cobra” (termin używany przez Departament Bezpieczeństwa Wewnętrznego USA do określenia złośliwych działań sieciowych przeprowadzanych przez rząd Korei Północnej), a także „ZINC” lub „Diamond Sleet” (nazwa używana przez Microsoft). Według północnokoreańskiego dezertera Kim Kuk-songa, organizacja ta jest w Korei Północnej znana jako „Biuro Łączności 414”.
Grupa Lazarus ma bliskie powiązania z Koreą Północną. Departament Sprawiedliwości USA oznajmił, że organizacja jest częścią strategii rządu Korei Północnej, mającej na celu 'podważenie globalnego bezpieczeństwa sieci... i uzyskanie nielegalnych dochodów w celu naruszenia sankcji'.
Korea Północna może uzyskać wiele korzyści, prowadząc działania w sieci, potrzebując jedynie bardzo małego, wyspecjalizowanego zespołu, aby stworzyć 'globalne' asymetryczne zagrożenie (szczególnie wobec Korei Południowej).
Historia rozwoju
Najwcześniejsze znane ataki tej organizacji miały miejsce w latach 2009-2012, znane jako 'Operacja Trojańska'. Była to działalność szpiegowska w sieci, wykorzystująca stosunkowo proste techniki ataków DDoS, skierowane na rząd Korei znajdujący się w Seulu. W latach 2011 i 2013 również przeprowadzono ataki.
Choć nie można tego potwierdzić, atak z 2007 roku na Koreę Południową również może być ich dziełem. Jednym z głośnych ataków tej organizacji miała miejsce w 2014 roku, kiedy celem była Sony Pictures. Atak ten wykorzystał bardziej zaawansowane techniki i pokazał, że organizacja staje się coraz bardziej dojrzała w miarę upływu czasu.
Z doniesień wynika, że w 2015 roku grupa Lazarus ukradła 12 milionów dolarów z banku Austro w Ekwadorze, a także 1 milion dolarów z VietinBank w Wietnamie. Ich celem były również banki w Polsce i Meksyku.
W kradzieży bankowej z 2016 roku zaatakowali pewien bank, skutecznie kradnąc 81 milionów dolarów; ta sprawa również uważa się za dzieło tej organizacji.
W 2017 roku zgłoszono, że grupa Lazarus Group ukradła 60 milionów dolarów z Far Eastern International Bank na Tajwanie, jednak rzeczywista kwota skradzionych pieniędzy nie jest jasna, a większość funduszy została odzyskana.
Nie jest jeszcze jasne, kto tak naprawdę stoi za tą organizacją, ale doniesienia medialne wskazują na bliskie powiązania tej organizacji z Koreą Północną.
W 2017 roku Kaspersky Lab zgłosił, że grupa Lazarus skłania się do skupiania się na atakach wywiadowczych i infiltracyjnych, podczas gdy jej wewnętrzna podgrupa, nazywana przez Kaspersky'ego 'Bluenoroff', specjalizuje się w atakach na sieci finansowe. Kaspersky odkrył wiele incydentów ataków na całym świecie i zauważył bezpośrednie powiązania między Bluenoroff a danym państwem.
Jednak Kaspersky przyznał również, że ponowne użycie kodu może być 'fałszywą flagą', mającą na celu wprowadzenie w błąd śledczych i obwinienie Korei Północnej, biorąc pod uwagę, że globalny atak robaka 'Chcę płakać' skopiował techniki NSA.
To złośliwe oprogramowanie wykorzystało lukę 'EternalBlue' w amerykańskiej NSA, a w kwietniu 2017 roku hakerska grupa znana jako 'Shadow Brokers' ujawniła tę lukę. W 2017 roku Symantec zgłosił, że atak 'WannaCry' prawdopodobnie został przeprowadzony przez Lazarus Group.
Operacja Trojańska z 2009 roku.
Pierwsze poważne wydarzenie hakerskie grupy Lazarus miało miejsce 4 lipca 2009 roku, co oznaczało początek 'Operacji Trojańskiej'. Atak ten wykorzystał złośliwe oprogramowanie 'Mój koniec' i 'Buldożer', przeprowadzając masowy, choć niezbyt skomplikowany atak DDoS na strony internetowe w USA i Korei Południowej. Atak ten dotyczył około 36 stron internetowych i wprowadził tekst 'Dzień Niepodległości' do głównych rekordów rozruchowych (MBR).
Atak w Korei Południowej w 2013 roku ('Operacja 1/Operacja Ciemny Seul').
Z biegiem czasu metody ataków tej organizacji stawały się coraz bardziej skomplikowane; ich techniki i narzędzia stały się bardziej zaawansowane i skuteczne. Atak 'Deszcz dziesięciodniowy' z marca 2011 roku, który miał na celu media, finanse i kluczową infrastrukturę w Korei, wykorzystał bardziej zaawansowane ataki DDoS, które pochodziły z zainfekowanych komputerów w Korei. 20 marca 2013 roku rozpoczęła się 'Operacja Ciemny Seul', będąca atakiem mającym na celu zniszczenie danych, który dotknął trzy koreańskie stacje telewizyjne, instytucje finansowe i dostawcę usług internetowych. Dwa inne organizacje, które twierdziły, że są odpowiedzialne za ten atak, to 'Nowy Rzymski Legion' i 'Zespół WhoIs', ale wówczas badacze nie wiedzieli, że za tym atakiem stoi grupa Lazarus. Dziś badacze wiedzą, że grupa Lazarus była głównym wykonawcą tych destrukcyjnych ataków.
Pod koniec 2014 roku doszło do włamania do Sony Pictures.
24 listopada 2014 roku atak grupy Lazarus osiągnął szczyt. Tego dnia na Reddicie pojawił się post, informujący, że Sony Pictures zostało zaatakowane w nieznany sposób, a napastnicy nazwali się 'Strażnikami Pokoju'. Zostały skradzione ogromne ilości danych, które stopniowo zaczęły być publikowane w ciągu kilku dni po ataku. Osoba, która twierdziła, że jest członkiem grupy, powiedziała w wywiadzie, że od ponad roku kradną dane Sony.
Hakerzy uzyskali dostęp do jeszcze nieopublikowanych filmów, części scenariuszy filmowych, przyszłych planów filmowych, informacji o wynagrodzeniach kadry zarządzającej, e-maili oraz danych osobowych około 4000 pracowników.
Początkowe badania z początku 2016 roku: 'Operacja Bomby'.
Pod kodową nazwą 'Operacja Bomby', konsorcjum kilku firm zajmujących się bezpieczeństwem, prowadzone przez Novetta, przeanalizowało próbki złośliwego oprogramowania odkryte w różnych incydentach związanych z bezpieczeństwem sieci. Wykorzystując te dane, zespół analizował metody działania hakerów. Przez wzorce ponownego użycia kodu powiązano Lazarus Group z wieloma atakami. Na przykład użyli rzadko znanego algorytmu kryptograficznego w Internecie - algorytmu 'Karacaks'.
Atak na bank w 2016 roku.
W lutym 2016 roku miała miejsce kradzież bankowa. Hakerzy zabezpieczeni przez SWIFT wydali 35 fałszywych instrukcji, próbując nielegalnie przenieść blisko 1 miliard dolarów z konta centralnego banku danego kraju w Nowym Jorku. Z 35 fałszywych instrukcji 5 udało się przenieść 101 milionów dolarów, z czego 20 milionów trafiło na Sri Lankę, a 81 milionów na Filipiny. Nowojorski bank rezerwy federalnej zablokował pozostałe 30 transakcji z powodu podejrzeń związanych z błędem w pisowni jednej z instrukcji, co dotyczyło kwoty 850 milionów dolarów. Eksperci ds. bezpieczeństwa stwierdzili, że mózgiem tego ataku była grupa Lazarus z danego kraju.
Atak ransomware 'WannaCry' w maju 2017 roku.
'WannaCry' był masowym atakiem ransomware, który miał miejsce 12 maja 2017 roku, wpływając na wiele organizacji na całym świecie, od NHS w Wielkiej Brytanii po Boeinga, a nawet niektóre uniwersytety w Chinach. Atak trwał 7 godzin i 19 minut. Europejska Agencja Policji szacuje, że atak ten wpłynął na blisko 200 000 komputerów w 150 krajach, a głównie dotknięte obszary to Rosja, Indie, Ukraina i Tajwan. Był to jeden z pierwszych ataków wykorzystujących robaki kryptograficzne.
Robaki kryptograficzne to rodzaj złośliwego oprogramowania, które może rozprzestrzeniać się przez sieć między komputerami, infekując je bez bezpośrednich działań użytkownika - w tym ataku wykorzystano port TCP 445. Komputer zainfekowany tym wirusem nie wymaga klikania w złośliwe linki, złośliwe oprogramowanie może automatycznie rozprzestrzeniać się z jednego komputera do podłączonej drukarki, a następnie do innych komputerów podłączonych do pobliskiej sieci bezprzewodowej. Luka w porcie 445 pozwala złośliwemu oprogramowaniu swobodnie rozprzestrzeniać się w wewnętrznej sieci, szybko infekując tysiące komputerów. Atak 'WannaCry' był jednym z pierwszych dużych ataków wykorzystujących robaki kryptograficzne.
Metoda ataku: wirus wykorzystał lukę w systemie operacyjnym Windows, a następnie zaszyfrował dane na komputerze, żądając zapłaty około 300 dolarów w bitcoinach za klucz deszyfrujący. Aby skłonić ofiary do płatności, po trzech dniach okup podwaja się, a jeśli nie zostanie zapłacony w ciągu tygodnia, złośliwe oprogramowanie usunie zaszyfrowane pliki danych.
Złośliwe oprogramowanie wykorzystało legalne oprogramowanie opracowane przez Microsoft o nazwie 'Windows Crypto' do szyfrowania plików. Po zakończeniu szyfrowania do nazwy pliku dodawany jest sufiks 'Wincry', co jest źródłem nazwy 'Chcę płakać' (WannaCry). 'Wincry' jest podstawą szyfrowania, ale złośliwe oprogramowanie wykorzystało również dwa inne luki: 'EternalBlue' i 'DoublePulsar', co czyni je robakiem kryptograficznym.
'EternalBlue' może automatycznie rozprzestrzeniać wirus przez sieć, podczas gdy 'DoublePulsar' uruchamia wirusa na komputerze ofiary. Oznacza to, że 'EternalBlue' rozprzestrzenia zainfekowane połączenia na twój komputer, a 'DoublePulsar' klika w nie za ciebie.
Badacz bezpieczeństwa Marcus Hutchins otrzymał próbkę wirusa od znajomego z firmy zajmującej się bezpieczeństwem i odkrył, że wirus zawierał twardo zakodowany 'wyłącznik antywirusowy', który zakończył atak. To złośliwe oprogramowanie regularnie sprawdzało, czy zarejestrowana została konkretna domena, a jedynie w przypadku jej braku kontynuowało operacje szyfrowania.
Hutchins odkrył ten mechanizm sprawdzania, a następnie zarejestrował odpowiednią domenę o godzinie 15:03 UTC. Złośliwe oprogramowanie natychmiast przestało się rozprzestrzeniać i infekować nowe urządzenia. Ta sytuacja jest interesująca i dostarcza wskazówek do śledzenia twórcy wirusa. Zwykle zatrzymanie złośliwego oprogramowania zajmuje hakerom i ekspertom ds. bezpieczeństwa miesiące walki, a tak łatwe zwycięstwo jest zaskakujące. Atak ten miał również niezwykły aspekt, ponieważ po zapłaceniu okupu pliki nie mogły być odzyskane: hakerzy otrzymali jedynie 160 000 dolarów okupu, co skłoniło wielu do przekonania, że ich celem nie były pieniądze.
'Wyłącznik antywirusowy' łatwo można było obejść, a zyski z okupu były niewielkie, co skłoniło wielu do uwierzenia, że atak ten był wsparciem państwowym; ich motywacja nie była ekonomiczna, lecz miała na celu wywołanie chaosu. Po ataku eksperci ds. bezpieczeństwa zauważyli, że luka 'DoublePulsar' pochodzi z NSA, a ta luka pierwotnie została opracowana jako broń cybernetyczna.
Później, hakerska organizacja 'Shadow Brokers' skradła tę lukę, początkowo próbując ją sprzedać, ale nie udało im się, więc ostatecznie ujawnili ją za darmo. NSA USA następnie poinformowała Microsoft o tej luce, a Microsoft 14 marca 2017 roku wydał aktualizację, mniej niż miesiąc przed atakiem. Ale to było niewystarczające, ponieważ aktualizacje nie były obowiązkowe, do 12 maja większość komputerów z tą luką wciąż nie była naprawiona, co doprowadziło do niesamowitych zniszczeń.
Skutki: Departament Sprawiedliwości USA i władze Wielkiej Brytanii później uznały, że atak 'WannaCry' został przeprowadzony przez północnokoreańską grupę hakerską Lazarus Group.
Incydent ataku kryptowalut w 2017 roku.
W 2018 roku Recorded Future opublikowało raport, w którym stwierdzono, że grupa Lazarus jest związana z atakami na użytkowników kryptowalut Bitcoin i Monero, które głównie dotyczyły użytkowników z Korei Południowej. Z doniesień wynika, że ataki te były technicznie podobne do wcześniejszych ataków z użyciem złośliwego oprogramowania 'Chcę płakać' oraz ataków na Sony Pictures.
Jedną z metod, jaką wykorzystują hakerzy grupy Lazarus, jest wykorzystanie luk w oprogramowaniu do przetwarzania tekstu w języku koreańskim Hangul (opracowanym przez Hancom). Inną metodą jest wysyłanie phishingowych wiadomości e-mail z złośliwym oprogramowaniem, skierowanych do koreańskich studentów i użytkowników giełd kryptowalut, takich jak Coinlink.
Jeśli użytkownik otworzy złośliwe oprogramowanie, jego adres e-mail i hasło zostaną skradzione. Coinlink zaprzecza, że ich strona internetowa lub adresy e-mail użytkowników zostały zaatakowane przez hakerów.
Raport podsumowuje: 'Ta seria ataków pod koniec 2017 roku wskazuje, że pewne państwo wykazuje rosnące zainteresowanie kryptowalutami; dziś wiemy, że to zainteresowanie obejmuje szeroki zakres działań, w tym wydobycie, ataki ransomware i bezpośrednie kradzieże...'. Raport wskazuje również, że pewne państwo wykorzystuje te ataki na kryptowaluty, aby unikać międzynarodowych sankcji finansowych.
W lutym 2017 roku, hakerzy z danego kraju ukradli 7 milionów dolarów z koreańskiej giełdy kryptowalut Bithumb. Inna koreańska firma zajmująca się bitcoinami, Youbit, po ataku w kwietniu 2017 roku, w grudniu tego samego roku ogłosiła bankructwo po utracie 17% swoich aktywów.
Grupa Lazarus i hakerzy z pewnego państwa są oskarżani o bycie mózgiem tych ataków. W grudniu 2017 roku rynek chmury wydobywania kryptowalut Nicehash stracił ponad 4500 bitcoinów. Aktualizacja dochodzenia wykazała, że atak ten był związany z Lazarus Group.
Incydent ataku we wrześniu 2019 roku.
W połowie września 2019 roku USA wydały publiczne ostrzeżenie, że odkryto nowy rodzaj złośliwego oprogramowania o nazwie 'ElectricFish'. Od początku 2019 roku agenci z danego państwa przeprowadzili pięć poważnych kradzieży internetowych, w tym udane kradzieże 49 milionów dolarów z jednej instytucji w Kuwejcie.
Incydent ataku na firmy farmaceutyczne pod koniec 2020 roku.
Z powodu trwającej pandemii COVID-19, firmy farmaceutyczne stały się głównym celem grupy Lazarus. Członkowie grupy Lazarus wykorzystali techniki phishingu ukierunkowanego, podszywając się pod urzędników zdrowia, aby wysyłać złośliwe linki do pracowników firm farmaceutycznych. Uważa się, że wiele dużych firm farmaceutycznych stało się celem ataków, jednak do tej pory potwierdzono jedynie atak na firmę AstraZeneca, będącą wspólnym przedsięwzięciem z Wielką Brytanią.
Według raportu Reuters, wielu pracowników stało się ofiarami ataku, w tym wielu z nich pracowało nad rozwojem szczepionek COVID-19. Nie jest jeszcze jasne, jaki był cel ataków grupy Lazarus, ale mogą obejmować: kradzież wrażliwych informacji w celu zysku, realizację planów wymuszenia oraz umożliwienie zagranicznym reżimom uzyskania własnościowych wyników badań dotyczących COVID-19. AstraZeneca nie skomentowała tego incydentu, a eksperci uważają, że obecnie nie doszło do wycieku wrażliwych danych.
Atak na badaczy zajmujących się bezpieczeństwem sieci w styczniu 2021 roku.
W styczniu 2021 roku zarówno Google, jak i Microsoft publicznie donosili, że grupa hakerów z danego państwa przeprowadziła atak na badaczy bezpieczeństwa, a Microsoft jednoznacznie wskazał, że atak był przeprowadzony przez grupę Lazarus.
Hakerzy tworzyli wiele profili użytkowników na platformach takich jak Twitter, GitHub i LinkedIn, podszywając się pod prawdziwych badaczy luk w oprogramowaniu i interagując z postami i treściami publikowanymi przez innych w społeczności badaczy bezpieczeństwa. Następnie bezpośrednio kontaktowali się z określonymi badaczami bezpieczeństwa, aby wciągnąć ofiary do pobrania plików zawierających złośliwe oprogramowanie lub odwiedzenia blogów na stronach kontrolowanych przez hakerów.
Niektórzy ofiary, które odwiedziły posty na blogu, twierdziły, że mimo korzystania z w pełni zaktualizowanej przeglądarki Google Chrome, ich komputery zostały zainfekowane, co sugeruje, że hakerzy mogli wykorzystać wcześniej nieznaną lukę zero-day w Chrome do ataku; jednak Google w momencie publikacji raportu stwierdziło, że nie można ustalić konkretnej metody włamania.
Incydent ataku na grę blockchain Axie Infinity w marcu 2022 roku.
W marcu 2022 roku grupa Lazarus została oskarżona o kradzież kryptowalut o wartości 620 milionów dolarów z sieci Ronin używanej w grze Axie Infinity. FBI stwierdziło: 'Potwierdziliśmy, że grupa Lazarus i APT 38 (związana z Koreą Północną) są mózgami tej kradzieży.'
Incydent ataku na Horizon Bridge w czerwcu 2022 roku.
FBI potwierdziło, że północnokoreańska organizacja hakerska Lazarus Group (znana także jako APT 38) jest mózgiem kradzieży wirtualnych walut o wartości 100 milionów dolarów z Horizon Bridge, o którym doniesiono 24 czerwca 2022 roku.
Inne powiązane incydenty ataków kryptowalut w 2023 roku.
Raport opublikowany przez platformę bezpieczeństwa blockchain Immunefi stwierdza, że grupa Lazarus spowodowała straty przekraczające 300 milionów dolarów w incydentach hakerskich na kryptowaluty w 2023 roku, co stanowi 17,6% całkowitych strat w tym roku.
Incydent ataku na Atomic Wallet w czerwcu 2023 roku: w czerwcu 2023 roku użytkownicy usługi Atomic Wallet stracili kryptowalutę o wartości przekraczającej 100 milionów dolarów, co zostało później potwierdzone przez FBI.
Atak hakerski na Stake.com w wrześniu 2023 roku: w wrześniu 2023 roku FBI potwierdziło, że na platformie hazardowej Stake.com skradziono kryptowalutę o wartości 41 milionów dolarów, a sprawcą była grupa Lazarus.
Amerykańskie środki sankcyjne.
14 kwietnia 2022 roku, amerykański Departament Skarbu na podstawie przepisów sankcyjnych danego państwa, umieścił grupę Lazarus na liście specjalnie wyznaczonych narodów (SDN List).
Incydent ataku kryptowalut w 2024 roku.
Według indyjskich mediów, lokalna giełda kryptowalut WazirX została zaatakowana przez tę organizację, a wartość skradzionych aktywów kryptograficznych wyniosła 234,9 miliona dolarów.
Szkolenie personelu.
Krążyły pogłoski, że niektórzy północnokoreańscy hakerzy są wysyłani do Shenyang w Chinach na specjalistyczne szkolenia, aby nauczyć się, jak wprowadzać różne złośliwe oprogramowanie do komputerów, sieci komputerowych i serwerów. W Korei Północnej Uniwersytet Przemysłu Kimchaek, Uniwersytet Kim Il-sung i Uniwersytet Mangyongdae pełnią związane z tym zadania edukacyjne; te uczelnie wybierają najlepszych uczniów z całego kraju, aby poddali się sześciu latom specjalistycznego kształcenia. Oprócz edukacji uniwersyteckiej, 'niektórzy z najlepszych programistów... są wysyłani na studia podyplomowe do Uniwersytetu Mangyongdae lub do Instytutu Mirim'.
Oddziały organizacji.
Grupa Lazarus jest uważana za mającą dwa oddziały.
BlueNorOff
BlueNorOff (znane również jako APT 38, 'Chollima', 'BeagleBoyz', 'NICKEL GLADSTONE') to organizacja motywowana zyskiem, która przeprowadzała nielegalne transfery funduszy poprzez fałszywe instrukcje SWIFT. Mandiant nazywa to APT 38, a Crowdstrike nazywa to 'Chollima'.
Według raportu amerykańskiej armii z 2020 roku, BlueNorOff ma około 1700 członków, którzy koncentrują się na długoterminowej ocenie i wykorzystywaniu luk w sieciach przeciwnika oraz systemów, prowadząc działalność przestępczości finansowej w celu uzyskania korzyści ekonomicznych dla reżimu tego kraju lub kontroli nad powiązanymi systemami. W latach 2014-2021 ich celem były co najmniej 16 instytucji w 13 krajach, w tym Bangladeszu, Chile, Indiach, Meksyku, Pakistanie, Filipinach, Korei Południowej, Tajwanie, Turcji i Wietnamie. Uważa się, że te nielegalne dochody zostały wykorzystane do rozwoju technologii rakietowej i nuklearnej tego kraju.
Najbardziej notorycznym atakiem BlueNorOff był kradzież w pewnym banku w 2016 roku, kiedy to próbowali nielegalnie przenieść blisko 1 miliard dolarów z konta centralnego banku danego kraju w Nowym Jorku przez sieć SWIFT. Po częściowych udanych transakcjach (20 milionów dolarów na Sri Lankę, 81 milionów dolarów na Filipiny), Nowojorski bank rezerwy federalnej zablokował pozostałe transakcje z powodu podejrzeń związanych z błędem w pisowni jednej z instrukcji.
Złośliwe oprogramowanie związane z BlueNorOff obejmuje: 'DarkComet', 'Mimikatz', 'Nestegg', 'Macktruck', 'Chcę płakać', 'Whiteout', 'Quickcafe', 'Rawhide', 'Smoothride', 'TightVNC', 'Sorrybrute', 'Keylime', 'Snapshot', 'Mapmaker', 'net.exe', 'sysmon', 'Bootwreck', 'Cleantoad', 'Closeshave', 'Dyepack', 'Hermes', 'Twopence', 'Electricfish', 'Powerratankba' i 'Powerspritz'.
Powszechnie stosowane metody BlueNorOff obejmują: phishing, tworzenie tylnego wejścia, wykorzystywanie luk, ataki na wodopój, wykorzystywanie przestarzałych i niebezpiecznych wersji Apache Struts 2 do wykonywania kodu na systemach, strategiczne włamania na strony internetowe oraz dostęp do serwerów Linux. Zgłoszono, że czasami współpracują z hakerami przestępczymi.
AndAriel
AndAriel, również pisane jako Andarial, znane także pod nazwą 'Cicha Chollima', 'Ciemny Seul', 'Karabin Rife' oraz 'Wassonite', w logice ma cechy skierowane na Koreę jako cel ataku. Przezwisko AndAriel 'Cicha Chollima' wynika z tajemniczego charakteru działania tej organizacji. Każda instytucja w Korei może stać się celem AndAriel, w tym departamenty rządowe, agencje obrony i różne znaczące podmioty gospodarcze.
Z raportu amerykańskiej armii z 2020 roku wynika, że organizacja AndAriel ma około 1600 członków, których zadaniem jest prowadzenie wywiadu, ocena luk w sieciach oraz tworzenie mapy sieci przeciwnika w celu przeprowadzenia potencjalnych ataków. Oprócz Korei Południowej, wyznaczyli również rządy innych państw, infrastrukturę i przedsiębiorstwa jako cele ataków. Metody ataków obejmują: wykorzystanie kontrolek ActiveX, luki w oprogramowaniu w Korei, ataki na wodopój, phishing ukierunkowany (metodą makro), ataki na produkty zarządzania IT (takie jak oprogramowanie antywirusowe, oprogramowanie do zarządzania projektami) oraz ataki z wykorzystaniem łańcucha dostaw (instalatory i aktualizacje). Używane złośliwe oprogramowanie obejmuje: Aryan, Gh0st RAT, Rifdoor, Phandoor i Andarat.
Stan oskarżenia związanych osób.
W lutym 2021 roku Departament Sprawiedliwości USA oskarżył trzech członków północnokoreańskiej agencji wywiadowczej - Park Jin Hyok, Jon Chang Hyok i Kim Il Park - o uczestnictwo w wielu atakach hakerskich grupy Lazarus. Park Jin Hyok był już oskarżony we wrześniu 2018 roku. Ci podejrzani nie są obecnie przetrzymywani w USA. Ponadto jeden Kanadyjczyk i dwóch Chińczyków również zostali oskarżeni o działanie jako pośrednicy i prani pieniędzy dla grupy Lazarus.