Lazarus Group (также известная как «Стражи» или «Команда мира или кто это») — это хакерская организация, состоящая из неопределенного числа участников, которая, как утверждается, управляется правительством Северной Кореи.
Хотя о данной организации известно немного, с 2010 года исследователи приписали ей множество кибератак.
Организация первоначально была преступной группой, но теперь, из-за своих намерений атак, создаваемой угрозы и используемых методов, была признана организацией с высокой степенью постоянной угрозы.
Кибербезопасные агентства дали им множество альтернативных названий, таких как «Скрытая Кобра» (Hidden Cobra) (это название использует Министерство внутренней безопасности США для обозначения злоумышленных сетевых действий, инициированных северокорейским правительством), а также «ZINC» или «Diamond Sleet» (по версии Microsoft). По словам дезертира из этой страны Ким Кук-сона, эта организация в Северной Корее известна как «414 контактный офис».
Lazarus Group тесно связана с Северной Кореей. Министерство юстиции США заявило, что эта организация является частью стратегии правительства Северной Кореи, целью которой является «подрыв глобальной кибербезопасности... и получение незаконного дохода в обход санкций».
Северная Корея может получить множество преимуществ от ведения кибервойн, требуя лишь поддерживать очень небольшую и эффективную команду, чтобы создать «глобальную» асимметричную угрозу (особенно для Южной Кореи).
История развития
Известно, что первая атака этой организации произошла в рамках «Операции Троя» с 2009 по 2012 год. Это была кибер-шпионская деятельность, использующая довольно простые технологии DDoS-атак, направленных на правительство Южной Кореи, расположенное в Сеуле. В 2011 и 2013 годах они также осуществили атаки.
Хотя это не может быть точно установлено, но нападение на Южную Корею в 2007 году также может быть их делом. Одно из известных нападений этой организации произошло в 2014 году, когда целью стала Sony Pictures. Эта атака использовала более сложные технологии и показала, что организация становится все более зрелой с течением времени.
Сообщается, что в 2015 году Lazarus Group украла 12 миллионов долларов из банка Острого в Эквадоре и 1 миллион долларов из банка Вьетнама. Они также нацелились на банки в Польше и Мексике.
В кражах в банке в 2016 году они атаковали один из банков и успешно украли 81 миллион долларов, и этот случай также считается делом этой организации.
В 2017 году сообщалось, что Lazarus Group украла 60 миллионов долларов из Far Eastern International Bank на Тайване, однако фактическая сумма кражи не ясна, и большая часть средств была возвращена.
В настоящее время неясно, кто на самом деле стоит за этой организацией, но сообщения в СМИ указывают на тесную связь этой организации с Северной Кореей.
В 2017 году лаборатория Kaspersky сообщила, что Lazarus Group, как правило, сосредотачивается на шпионских и проникающих кибератаках, в то время как его внутренний подразделение, названное Kaspersky «Bluenoroff», специализируется на финансовых кибератаках. Kaspersky обнаружила множество атак по всему миру и обнаружила прямую связь IP-адреса Bluenoroff с этой страной.
Однако Kaspersky также признала, что повторное использование кода может быть «операцией под ложным флагом», целью которой является введение следователей в заблуждение и возложение вины на Северную Корею, поскольку глобальная атака «WannaCry» использовала технологии Национального агентства безопасности США.
Этот программный вирус использовал уязвимость «EternalBlue» от Национального агентства безопасности США. В апреле 2017 года хакерская группа под названием «Shadow Brokers» раскрыла эту уязвимость. В 2017 году Symantec сообщила, что нападение «WannaCry» с высокой вероятностью было совершено Lazarus Group.
«Операция Троя» 2009 года.
Первое значительное хакерское событие Lazarus Group произошло 4 июля 2009 года, что ознаменовало начало «Операции Троя». Эта атака использовала вредоносные программы «MyDoom» и «Pushdo», чтобы провести массовые, но несложные DDoS-атаки на сайты США и Южной Кореи. Эта волна атак затронула около 36 сайтов и внедрила текст «День независимости» в главную запись загрузки (MBR).
Атака на Южную Корею в 2013 году («Операция 1»/«Темный Сеул»)
С течением времени методы атак этой организации становились все более сложными; их технологии и инструменты также становились более зрелыми и эффективными. Атака «Десятидневный дождь» в марте 2011 года нацелилась на средства массовой информации, финансы и критическую инфраструктуру Южной Кореи, использовав более сложные DDoS-атаки, которые происходили с взломанных компьютеров внутри Южной Кореи. 20 марта 2013 года началась «Операция Темный Сеул», это была атака на стирание данных, нацеленная на три южнокорейские радиовещательные компании, финансовые учреждения и одного провайдера интернет-услуг. В то время две другие группы, называвшие себя «Новая римская кибер-гвардия» и «Команда WhoIs», взяли на себя ответственность за эту атаку, но исследователи тогда не знали, что настоящим организатором является Lazarus Group. Теперь исследователи знают, что Lazarus Group является ведущей силой за этими разрушительными атаками.
Конец 2014 года: вторжение в Sony Pictures.
24 ноября 2014 года атака Lazarus Group достигла своего пика. В тот день на Reddit появилась запись о том, что Sony Pictures была взломана неизвестным способом, и нападавшие назвали себя «Стражами мира». Было украдено множество данных, которые постепенно утекли в течение нескольких дней после атаки. Один из людей, назвавший себя членом этой организации, заявил в интервью, что они крали данные Sony в течение более года.
Хакеры получили доступ к еще не выпущенным фильмам, некоторым сценариям, будущим планам фильмов, информации о зарплате руководителей компании, электронной почте и личной информации около 4000 сотрудников.
Начало 2016 года, расследование: «Операция с большим взрывом»
Под кодовым названием «Операция с большим взрывом», альянс из нескольких компаний по безопасности, возглавляемый Novetta, провел анализ образцов вредоносного ПО, обнаруженного в различных инцидентах кибербезопасности. Используя эти данные, команда проанализировала методы работы хакеров. Они связали Lazarus Group с несколькими атаками через модели повторного использования кода. Например, они использовали малоизвестный в Интернете алгоритм шифрования — алгоритм «Каракас».
Кибер-кража в банке в 2016 году.
В феврале 2016 года произошла кража в банке. Хакеры безопасности отправили 35 мошеннических инструкций через сеть SWIFT, пытаясь незаконно перевести почти 1 миллиард долларов со счета центрального банка одной страны в Нью-Йорке. Из 35 мошеннических инструкций 5 успешно перевели 101 миллион долларов, из которых 20 миллионов долларов ушли в Шри-Ланку, а 81 миллион долларов в Филиппины. Нью-Йоркский федеральный резервный банк заподозрил ошибку в написании одной инструкции и остановил оставшиеся 30 транзакций на сумму 850 миллионов долларов. Эксперты по кибербезопасности утверждают, что за этой атакой стоит Lazarus Group из одной страны.
Май 2017 года, атака программ-вымогателей «WannaCry»
Атака «WannaCry» является масштабной сетью программ-вымогателей, которая 12 мая 2017 года затронула множество учреждений по всему миру, от Национальной службы здравоохранения Великобритании (NHS) до компании Boeing и даже некоторых университетов в Китае. Эта атака длилась 7 часов 19 минут. Европейская полицейская служба оценивает, что атака затронула почти 200 000 компьютеров в 150 странах, причем основными пострадавшими регионами стали Россия, Индия, Украина и Тайвань. Это одна из первых атак с использованием криптовирусов.
Криптовирусы — это класс вредоносного ПО, который может распространяться между компьютерами через сеть, заражая их без непосредственного участия пользователя. В этой атаке он использовал порт TCP 445. Компьютеры заражаются вирусом без нажатия на вредоносные ссылки, вредоносное ПО может автоматически распространяться от одного компьютера к подключенному принтеру, а затем к другим компьютерам, подключенным к беспроводной сети. Уязвимость порта 445 позволяет вредоносному ПО свободно распространяться в локальной сети и быстро заражать тысячи компьютеров. Атака «WannaCry» является одной из первых массовых атак с использованием криптовирусов.
Способ атаки: вирус использовал уязвимость операционной системы Windows, затем шифровал данные компьютера, требуя около 300 долларов в биткойнах за ключ для расшифровки. Чтобы побудить жертву заплатить, через три дня выкуп удваивался, а если не будет оплачено в течение недели, вредоносное ПО удалит зашифрованные файлы данных.
Вредоносное ПО использовало законное программное обеспечение, разработанное Microsoft, под названием «Windows Crypto», для шифрования файлов. После завершения шифрования к именам файлов добавляется суффикс «Wincry», что и стало причиной названия «WannaCry». «Wincry» является основой шифрования, но вредоносное ПО также использовало еще две уязвимости: «EternalBlue» и «DoublePulsar», что сделало его криптовирусом.
«EternalBlue» может автоматически распространять вирус через сеть, тогда как «DoublePulsar» активирует вирус на компьютере жертвы. То есть «EternalBlue» распространяет зараженные ссылки на ваш компьютер, а «DoublePulsar» нажимает на них за вас.
Исследователь безопасности Маркус Хатчинс, получив образец этого вируса от друга из компании по исследованию безопасности, обнаружил, что в вирусе закодирован «антивирусный переключатель», который остановил эту атаку. Этот вредоносный софт периодически проверяет, зарегистрирован ли определенный домен, и только в случае его отсутствия продолжает операции шифрования.
Хатчинс обнаружил этот механизм проверки, после чего зарегистрировал соответствующий домен в 15:03 по всемирному координированному времени. Вредоносное ПО сразу же прекратило распространение и заражение новых устройств. Это обстоятельство очень интересно и дает подсказку для отслеживания создателя вируса. Обычно для остановки вредоносного ПО требуется месяцы противостояния между хакерами и специалистами по безопасности, и такая легкость победы была неожиданной. Эта атака также имела необычное свойство, поскольку после выплаты выкупа файлы не могли быть восстановлены: хакеры получили всего 160 000 долларов выкупа, что заставило многих думать, что их цель не в деньгах.
«Антивирусный переключатель» был легко взломан, а выкуп был низким, что заставило многих верить, что это нападение было поддержано государством; их мотивы не заключались в экономической компенсации, а в создании хаоса. После атаки эксперты по безопасности проследили, что уязвимость «DoublePulsar» исходила от Национального агентства безопасности США, и эта уязвимость была изначально разработана как кибероружие.
Позже хакерская группа «Shadow Brokers» украла эту уязвимость, сначала попытавшись продать ее, но не смогла, в конечном итоге просто открыв ее бесплатно. Национальное агентство безопасности США затем уведомило Microsoft об этой уязвимости, и Microsoft выпустила обновление 14 марта 2017 года, менее чем за месяц до атаки. Но этого было недостаточно, поскольку обновления не были обязательными, к 12 мая большая часть компьютеров с этой уязвимостью так и не была исправлена, что привело к катастрофическим последствиям.
Последствия: Министерство юстиции США и власти Великобритании позже установили, что атаку «WannaCry» совершила северокорейская хакерская группа Lazarus Group.
Атаки на криптовалюту в 2017 году.
В 2018 году Recorded Future выпустила отчет, в котором говорится, что Lazarus Group была связана с атаками на пользователей криптовалют Bitcoin и Monero, в основном на пользователей из Южной Кореи. Сообщается, что эти атаки технически аналогичны ранее использовавшимся атакам программ-вымогателей «WannaCry» и атакам на Sony Pictures.
Один из способов, используемых хакерами Lazarus Group, заключается в использовании уязвимости в программном обеспечении для обработки текста Hangul (разработано Hancom). Другой способ заключается в отправке фишинговых приманок, содержащих вредоносное ПО, нацеленных на южнокорейских студентов и пользователей криптовалютных платформ, таких как Coinlink.
Если пользователь откроет вредоносное ПО, его адрес электронной почты и пароль будут украдены. Coinlink отрицает, что его сайт или адреса электронной почты пользователей были взломаны.
В отчете подводится итог: «Эта серия атак в конце 2017 года указывает на растущий интерес одной страны к криптовалютам, сейчас мы знаем, что этот интерес охватывает широкий спектр деятельности, включая добычу, атаки программ-вымогателей и прямые кражи...». В отчете также указывается, что эта страна использует атаки на криптовалюты, чтобы обойти международные финансовые санкции.
В феврале 2017 года хакеры из одной страны украли 7 миллионов долларов из южнокорейской криптовалютной биржи Bithumb. Другая южнокорейская биткойн-биржа Youbit после атаки в апреле 2017 года также столкнулась с кражей 17% активов в декабре того же года и была вынуждена подать на банкротство.
Lazarus Group и хакеры из одной страны обвиняются в том, что они стоят за этими атаками. В декабре 2017 года криптовалютный облачный майнинг рынок Nicehash потерял более 4500 биткойнов. Обновление расследования показало, что эта атака связана с Lazarus Group.
Сентябрь 2019 года, инцидент.
В середине сентября 2019 года США выпустили публичное предупреждение о новом типе вредоносного ПО под названием «ElectricFish». С начала 2019 года агенты из этой страны осуществили 5 крупных кибер-краж по всему миру, включая успешную кражу 49 миллионов долларов из одного учреждения в Кувейте.
Конец 2020 года, атака на фармацевтические компании.
Из-за продолжающейся пандемии COVID-19 фармацевтические компании стали основной целью Lazarus Group. Члены Lazarus Group использовали метод фишинга с использованием вуду, маскируясь под санитарных работников, чтобы отправлять вредоносные ссылки сотрудникам фармацевтических компаний. Считается, что несколько крупных фармацевтических компаний стали целями атак, но в настоящее время подтверждена только компания AstraZeneca, образованная в результате совместного предприятия между Великобританией и Швецией.
Согласно Reuters, многие сотрудники стали объектами атак, многие из которых участвовали в разработке вакцины от COVID-19. В настоящее время неясно, какова цель Lazarus Group в этих атаках, но они могут включать: кражу чувствительной информации для получения прибыли, осуществление вымогательских схем и получение новых исследований COVID-19 для иностранных режимов. AstraZeneca еще не прокомментировала этот инцидент, эксперты считают, что в настоящее время нет утечки чувствительных данных.
Январь 2021 года, атака на исследователей в области кибербезопасности.
В январе 2021 года Google и Microsoft публично сообщили, что группа хакеров из одной страны инициировала атаки на исследователей в области кибербезопасности с использованием методов социальной инженерии; Microsoft прямо указала, что эту атаку осуществила Lazarus Group.
Хакеры создали несколько профилей пользователей на таких платформах, как Twitter, GitHub и LinkedIn, маскируясь под законных исследователей уязвимостей программного обеспечения, взаимодействуя с постами и содержимым, опубликованными другими в сообществе безопасности. Затем они напрямую связывались с конкретными исследователями безопасности, под предлогом сотрудничества в исследовании, чтобы заманить жертвы скачать файл с вредоносным ПО или посетить блог на сайте, контролируемом хакерами.
Некоторые жертвы, посетившие блог, сообщили, что, хотя они использовали полностью обновленный браузер Google Chrome, их компьютер все равно был скомпрометирован, что указывает на то, что хакеры, возможно, использовали ранее неизвестную уязвимость нулевого дня в Chrome; однако Google заявил, что не может определить конкретный способ вторжения на момент публикации отчета.
Март 2022 года, атака на игровую платформу Axie Infinity.
В марте 2022 года Lazarus Group была обвинена в краже криптовалюты на сумму 620 миллионов долларов из сети Ronin, используемой в игре Axie Infinity. Федеральное бюро расследований сообщило: «В ходе расследования мы подтвердили, что Lazarus Group и APT 38 (кибероператоры, связанные с Северной Кореей) являются организаторами кражи».
Июнь 2022 года, атака на Horizon Bridge.
Федеральное бюро расследований подтвердило, что северокорейская хакерская группа Lazarus Group (также известная как APT 38) является организатором кражи 100 миллионов долларов виртуальных валют из Harmony на мосту Horizon, о чем сообщалось 24 июня 2022 года.
Другие связанные кибератаки на криптовалюту в 2023 году.
Согласно отчету платформы безопасности блокчейна Immunefi, Lazarus Group в 2023 году вызвала убытки более чем на 300 миллионов долларов в результате атак на криптовалюту, что составило 17,6% от общего ущерба в этом году.
Июнь 2023 года, атака на Atomic Wallet: в июне 2023 года у пользователей сервиса Atomic Wallet было украдено криптовалюты на сумму более 100 миллионов долларов, что позже подтвердило Федеральное бюро расследований.
Сентябрь 2023 года, атака на Stake.com: в сентябре 2023 года Федеральное бюро расследований подтвердило, что у онлайн-казино и игорной платформы Stake.com было украдено криптовалюты на сумму 41 миллион долларов, совершенной Lazarus Group.
Санкции США.
14 апреля 2022 года Министерство финансов США по контролю за иностранными активами (OFAC) включило Lazarus Group в список специально обозначенных граждан (SDN List) в соответствии с санкциями против одной страны, согласно пункту 510.214.
Атака на криптовалюту в 2024 году.
Как сообщает индийская пресса, местная криптовалютная биржа WazirX подверглась атаке этой организации, в результате чего было украдено криптоактивов на сумму 234,9 миллиона долларов.
Обучение сотрудников.
Согласно слухам, некоторых северокорейских хакеров отправляют в Шэньян, Китай, для профессиональной подготовки, обучая их внедрению различных вредоносных программ в компьютеры, компьютерные сети и серверы. Внутри Северной Кореи такие университеты, как Университет Ким Чен Ира, Университет Ким Ир Сена и Университет Мангьянгдай, отвечают за соответствующее образование, отбирая лучших студентов по всей стране для шестилетнего специального обучения. Кроме университетского образования, «некоторые из лучших программистов... будут отправлены в Университет Мангьянгдай или в Академию Мириум для дальнейшего обучения».
Подразделения организации.
Считается, что у Lazarus Group есть два подпроекта.
BlueNorOff
BlueNorOff (также известная как APT 38, «Звездный Чоллима», «BeagleBoyz», «NICKEL GLADSTONE») — это организация, движимая экономическими интересами, которая использует подделанные инструкции SWIFT для незаконного перевода средств. Mandiant называет ее APT 38, Crowdstrike называет ее «Звездный Чоллима».
Согласно отчету армии США за 2020 год, в BlueNorOff около 1700 членов, которые сосредоточены на долгосрочной оценке и использовании уязвимостей враждебных сетей и систем для ведения финансовой киберпреступной деятельности, чтобы получить экономические выгоды для режима страны или контролировать соответствующие системы. С 2014 по 2021 годы их целью стали как минимум 16 учреждений в 13 странах, включая Бангладеш, Чили, Индию, Мексику, Пакистан, Филиппины, Южную Корею, Тайвань, Турцию и Вьетнам. Считается, что эти незаконные доходы использовались для разработки ракетных и ядерных технологий страны.
Наиболее печально известной атакой BlueNorOff стала кража в банке в 2016 году, когда они пытались незаконно перевести почти 1 миллиард долларов со счета центрального банка одной страны в Нью-Йорке через сеть SWIFT. После успешного выполнения части транзакций (20 миллионов долларов ушли в Шри-Ланку, 81 миллион долларов в Филиппины) Нью-Йоркский федеральный резервный банк заподозрил ошибку в написании одной инструкции и остановил остальные транзакции.
Вредоносное ПО, связанное с BlueNorOff, включает: «DarkComet», «Mimikatz», «Nestegg», «Macktruck», «WannaCry», «Whiteout», «Quickcafe», «Rawhide», «Smoothride», «TightVNC», «Sorrybrute», «Keylime», «Snapshot», «Mapmaker», «net.exe», «sysmon», «Bootwreck», «Cleantoad», «Closeshave», «Dyepack», «Hermes», «Twopence», «Electricfish», «Powerratankba» и «Powerspritz» и др.
Распространенные методы BlueNorOff включают: фишинг, создание задних дверей, атаки на уязвимости, атаки на водяные ямы, использование устаревших и небезопасных версий Apache Struts 2 для выполнения кода на системах, стратегическое вторжение на веб-сайты и доступ к серверам Linux и т. д. Сообщается, что иногда они сотрудничают с преступными хакерами.
AndAriel
AndAriel, также пишется как Andarial, и имеет другие названия: «Молчаливый Чоллима» (Silent Chollima), «Темный Сеул» (Dark Seoul), «Ружье» (Rifle) и «Вассонит» (Wassonite), логически это характеризует организацию как нацеленную на Южную Корею. Псевдоним AndAriel «Молчаливый Чоллима» происходит от скрытной природы действий этой организации. Любая структура в Южной Корее может стать целью AndAriel, включая государственные органы, оборонные учреждения и разные экономические знаковые объекты.
Согласно отчету армии США за 2020 год, в организации AndAriel около 1600 членов, и их задача состоит в том, чтобы проводить разведку, оценивать уязвимости сети и составлять карту вражеских сетей для потенциальных атак. Кроме Южной Кореи, они также нацелились на правительства, инфраструктуру и компании других стран. Методы атак включают: использование ActiveX, уязвимости программного обеспечения в Южной Корее, водяные ямы, фишинг, направленный на продукты управления ИТ (например, антивирусное программное обеспечение, программное обеспечение для управления проектами), а также атаки через цепочку поставок (установочные и обновляющие программы). Используемое вредоносное ПО включает: Aryan, Gh0st RAT, Rifdoor, Phandoor и Andarat.
Состояние обвинений против связанных лиц.
В феврале 2021 года Министерство юстиции США предъявило обвинения трем членам Главного управления разведки Северной Кореи — Пак Чжина Хека (Park Jin Hyok), Чон Чан Хека (Jon Chang Hyok) и Ким Иль Пака (Kim Il Park), обвиняя их в участии в нескольких хакерских атаках Lazarus Group (Lazarus). Пак Чжин Хек был обвинен еще в сентябре 2018 года. В настоящее время эти подозреваемые не находятся под арестом в США. Кроме того, один канадец и двое китайцев также обвиняются в том, что они выступали в роли финансистов и отмывателей для Lazarus Group.