Из Википедии, бесплатной энциклопедии
  (Перенаправлено из Guardians of Peace )
Перейти к навигации Перейти к поиску
Lazarus Group
나사로 그룹
Формированиеc. 2009 [1]
ТипПостоянная угроза повышенной сложности
ЦельКибершпионаж , кибервойна
Область, край Пхеньян , Северная Корея
МетодыНуль-дни , spearphishing , вредоносные программы , дезинформация , бэкдоры , капельницы
Официальный язык Корейский
Головная организацияГлавное разведывательное бюро,
Корейский компьютерный центр
ПринадлежностиБлок 180 , AndAriel (группа)
Ранее называлсяAPT38
Боги Апостолы
Боги Ученики
Хранители мира
ZINC
Команда Whois
Скрытая кобра

Lazarus Group (также известная под другими прозвищами, такими как Стражи мира или Команда Whois ) - это киберпреступная группа, состоящая из неизвестного числа лиц. Хотя о Lazarus Group известно немного, исследователи приписывают им множество кибератак за последнее десятилетие. Первоначально преступная группа, в настоящее время классифицируется как серьезная постоянная угроза из-за предполагаемого характера, угрозы и широкого набора методов, используемых при проведении операции. Имена, данные компаниями, занимающимися кибербезопасностью, включают HIDDEN COBRA (от разведывательного сообщества США ) [1] и Zinc (отMicrosoft ). [2] [3] [4]

Lazarus Group имеет прочные связи с Северной Кореей . [5] [6] США Федеральное бюро расследований говорит , что Лазарь группа северокорейский « при поддержке государства взлома организации». [7]

История [ править ]

Самая ранняя известная атака, за которую несет ответственность группа, известна как «Операция Троя», которая проводилась с 2009 по 2012 год. Это была кампания кибершпионажа, в которой использовались простые методы распределенной атаки типа «отказ в обслуживании» (DDoS) для нацеливания на Правительство Южной Кореи в Сеуле. Они также несли ответственность за атаки в 2011 и 2013 годах. Возможно, они также стояли за атакой 2007 года, нацеленной на Южную Корею, но это все еще неясно. [8] Заметная атака, которой известна группа, - это нападение на Sony Pictures в 2014 году . Атака Sony использовала более изощренные методы и показала, насколько продвинулась группа с течением времени.

ФБР требовало уведомления для одного из хакеров Lazarus Group, Пак Джин Хёка.

Сообщалось, что в 2015 году Lazarus Group украла 12 миллионов долларов США у Banco del Austro в Эквадоре и 1 миллион долларов США у вьетнамского банка Tien Phong Bank [9]. Они также напали на банки в Польше и Мексике. [10] 2016 ограбление банка [11] включали нападение на Бангладеш банк , успешно красть US $ 81 млн было отнести к группе. Сообщалось, что в 2017 году группа Lazarus украла 60 миллионов долларов США из Дальневосточного международного банка Тайваня, хотя фактическая сумма похищения была неясна, и большая часть средств была возвращена. [10]

Неясно, кто на самом деле стоит за группой, но сообщения СМИ предполагают, что у группы есть связи с Северной Кореей . [12] [13] [10] « Лаборатория Касперского» сообщила в 2017 году, что Lazarus, как правило, концентрировались на шпионаже и кибератаках проникновения, тогда как подгруппа в их организации, которую Касперский назвал Bluenoroff, специализировалась на финансовых кибератаках. Касперский обнаружил несколько атак по всему миру и прямую связь ( IP-адрес ) между Bluenoroff и Северной Кореей. [14]

Однако Касперский также признал, что повторение кода могло быть «ложным флагом», предназначенным для того, чтобы ввести в заблуждение следователей и приписать атаку Северной Корее, учитывая, что всемирная кибератака червя WannaCry также скопировала методы АНБ. Эта программа-вымогатель использует эксплойт АНБ, известный как EternalBlue, который хакерская группа, известная как Shadow Brokers, обнародовала в апреле 2017 года. [15] Symantec сообщила в 2017 году, что «весьма вероятно», что Lazarus стоял за атакой WannaCry. [16]

Операция "Троя", 2009 г. [ править ]

Основная статья: Кибератаки в июле 2009 г.

Следующий инцидент произошел 4 июля 2009 года и положил начало операции «Троя». В этой атаке использовалось вредоносное ПО Mydoom и Dozer для запуска крупномасштабной, но довольно простой DDoS-атаки на веб-сайты США и Южной Кореи. Залп атак поразил около трех десятков веб-сайтов и поместил текст «Память Дня независимости» в главную загрузочную запись (MBR).

Кибератака в Южной Корее, 2013 г. [ править ]

Основная статья: Кибератака на Южную Корею в 2013 году
Смотрите также: DarkSeoul (дворник)

Со временем атаки этой группы стали более изощренными; их методы и инструменты стали более развитыми и эффективными. Атака в марте 2011 года, известная как «Десять дней дождя», была нацелена на южнокорейские СМИ, финансовую и критическую инфраструктуру и состояла из более сложных DDoS-атак, исходящих от взломанных компьютеров в Южной Корее. Атаки продолжились 20 марта 2013 года с помощью DarkSeoul, атаки с использованием очистителя, нацеленной на три южнокорейские вещательные компании, финансовые институты и интернет-провайдера. В то время две другие группы, известные под именами «NewRomanic Cyber ​​Army Team и WhoIs Team», взяли на себя ответственность за эту атаку, но исследователи не знали, что в то время за ней стояла Lazarus Group. Сегодня исследователи знают Lazarus Group как супергруппу, стоящую за подрывными атаками. [17]

Конец 2014 г .: нарушение Sony [ править ]

Основная статья: взлом Sony Pictures

Атаки Lazarus Group достигли своей кульминации 24 ноября 2014 года. В этот день на Reddit появилась публикация о том, что Sony Pictures была взломана неизвестным образом; преступники назвали себя «Стражами мира». Большие объемы данных были украдены и постепенно просочились в течение нескольких дней после атаки. В интервью с кем-то, утверждающим, что он является частью группы, говорится, что они перекачивали данные Sony более года. [18]

Хакерам удалось получить доступ к ранее неизданным фильмам, электронной почте и личной информации около 4000 сотрудников. [19]

Расследование в начале 2016 года: операция «Блокбастер» [ править ]

Под названием "Операция Блокбастер", коалиция охранных компаний, во главе с Novetta , [20] [21] был в состоянии анализировать образцы вредоносных программ обнаружены в различных инцидентах кибер-безопасности. Используя эти данные, команда смогла проанализировать методы, используемые хакерами. Они связали Lazarus Group с рядом атак посредством повторного использования кода. [22]

Середина 2017 г. WannaCry Attack [ править ]

Основная статья: Атака программы-вымогателя WannaCry

Вредоносное ПО WannaCry, поразившее до 300 000 компьютеров по всему миру, вероятно, создано хакерами из южного Китая, Гонконга, Тайваня или Сингапура, сообщила американская разведка. [23] Президент Microsoft приписал атаку WannaCry Северной Корее. [24]

Криптовалютные атаки 2017 г. [ править ]

В 2018 году Recorded Future опубликовала отчет, в котором Lazarus Group связывается с атаками на пользователей криптовалюты Биткойн и Monero в основном в Южной Корее. [25] Эти атаки были технически похожи на предыдущие атаки с использованием вымогателя WannaCry и атаки на Sony Pictures. [26] Одна из тактик, использованных хакерами Lazarus, заключалась в использовании уязвимостей в южнокорейском текстовом редакторе Hancom 's Hangul . [26] Другой тактикой было использование целевых фишинговых приманок, содержащих вредоносное ПО, которые были отправлены южнокорейским студентам и пользователям бирж криптовалюты, таких как Coinlink.. Если пользователь открывал вредоносную программу, она крала адреса электронной почты и пароли. [27] Coinlink отрицал факт взлома их сайта, либо адреса электронной почты и пароли пользователей были взломаны. [27] В докладе сделан вывод , что «Это в конце-2017 кампания является продолжением интереса Северной Кореи в криптовалюта, который мы теперь знаем , охватывает широкий спектр деятельности , включая добычу полезных ископаемых, вымогателей и прямой кражи ...» [25] В докладе также сказал, что Северная Корея использовала эти криптовалютные атаки, чтобы обойти международные финансовые санкции. [28] В феврале 2017 года северокорейские хакеры украли 7 миллионов долларов с южнокорейской биржи Bithumb . [29]Youbit, еще одна южнокорейская компания, занимающаяся обменом биткойнов, объявила о банкротстве в декабре 2017 года после того, как 17% ее активов были украдены в результате кибератак после более ранней атаки в апреле 2017 года. [30] В атаках обвиняли Lazarus и северокорейских хакеров. [31] [25] Nicehash , рынок облачного майнинга криптовалюты, потерял более 4500 биткойнов в декабре 2017 года. В обновленной информации о расследованиях утверждалось, что атака связана с Lazarus Group. [32]

Атаки в сентябре 2019 г. [ править ]

В середине сентября 2019 года США объявили о появлении новой версии вредоносного ПО под названием ELECTRICFISH . [33] С начала 2019 года северокорейские агенты предприняли пять крупных кибер-краж по всему миру, включая успешную кражу на 49 миллионов долларов из учреждения в Кувейте. [33]

Атаки фармацевтических компаний в конце 2020 года [ править ]

Из-за продолжающейся пандемии COVID-19 фармацевтические компании стали основными целями для Lazarus Group. Используя методы целевого фишинга, члены Lazarus Group выдавали себя за сотрудников здравоохранения и связывались с сотрудниками фармацевтических компаний, используя вредоносные ссылки. Предполагается, что нападениями были подвергнуты несколько крупных фармацевтических организаций, но подтверждено лишь одно - британская компания AstraZeneca . Согласно отчету Reuters [34], жертвами стали широкий круг сотрудников, в том числе многие из них, участвовавшие в исследованиях вакцины COVID-19. Неизвестно, какова была цель Lazarus Group в этих атаках, но вероятные возможности включают:

  • Кража конфиденциальной информации для продажи с целью получения прибыли.
  • Схемы вымогательства.
  • Предоставление иностранным режимам доступа к собственным исследованиям COVID-19.

AstraZeneca не прокомментировала инцидент, и эксперты не верят, что какие-либо конфиденциальные данные были скомпрометированы.

Образование [ править ]

Северокорейских хакеров отправляют профессионально в Шэньян, Китай, для прохождения специальной подготовки. Их обучают развертывать вредоносные программы всех типов на компьютерах, компьютерных сетях и серверах. Образование внутри страны включает Ким Чака технологический университет и Ким Ир Сена университета . [35]

Единицы [ править ]

Считается, что у Лазаря две единицы. [36]

BlueNorOff [ править ]

BlueNorOff - это финансово мотивированная группа, которая несет ответственность за незаконные переводы денег посредством подделки заказов от Swift . BlueNorOff также называется APT38 (от Mandiant ) и Stardust Chollima (от Crowdstrike ). [37] [38]

AndAriel [ править ]

С точки зрения логистики, AndAriel нацелен на Южную Корею . Альтернативное имя Ариэля - Тихая Чоллима из-за скрытности этой подгруппы. [39] Любая организация в Южной Корее уязвима для AndAriel. Цели включают правительство и оборону, а также любой экономический символ. [40] [41]

Обвинения [ править ]

В феврале 2021 года Министерство юстиции США предъявило обвинение трем членам Главного разведывательного управления , северокорейской военной разведки, в участии в нескольких хакерских кампаниях Lazarus: Джин Хёк, Джон Чан Хёк и Ким Ир. Пак Джин Хёк уже был обвинен ранее в сентябре 2018 года. Эти люди не находятся под стражей в США. Канадцу и двум китайцам также были предъявлены обвинения в том, что они выступали в роли денежных мулов и отмывали деньги для группы Lazarus. [42]

См. Также [ править ]

  • Отношения США и Северной Кореи
  • Рикошет Чоллима
  • Кимсуки
  • Пак Джин Хёк

Ссылки [ править ]

  1. ^ Фольц (16 сентября 2019). «США рассматривают взлом Северной Кореи как угрозу национальной безопасности» . MSN .
  2. ^ «Microsoft и Facebook предотвращают атаки вредоносных программ ZINC, чтобы защитить клиентов и Интернет от продолжающихся киберугроз» . Microsoft о проблемах . 2017-12-19 . Проверено 16 августа 2019 .
  3. ^ «ФБР предотвращает связанное с Lazarus северокорейское вредоносное ПО для наблюдения» . ЭТО ПРО . Проверено 16 августа 2019 .
  4. ^ Герреро-Сааде, Хуан Андрес; Мориучи, Присцилла (16 января 2018 г.). «Северная Корея нацелена на южнокорейских пользователей криптовалюты и биржу в кампании в конце 2017 года» . Записанное будущее . Архивировано из оригинала на 16 января 2018 года.
  5. ^ «Кто такой Lazarus? Новейший коллектив Северной Кореи по борьбе с киберпреступностью» . www.cyberpolicy.com . Проверено 26 августа 2020 .
  6. ^ Бидхэм, Мэтью (2020-01-09). «Северокорейская хакерская группа Lazarus использует Telegram для кражи криптовалюты» . Хард-форк | Следующая Сеть . Проверено 26 августа 2020 .
  7. ^ "ПАРК ДЖИН ХЁК" . Федеральное бюро расследований . Проверено 26 августа 2020 .
  8. ^ «Исследователи безопасности говорят, что таинственная« Lazarus Group »взломала Sony в 2014 году» . Daily Dot . Проверено 29 февраля 2016 .
  9. ^ «Вредоносное ПО злоумышленников SWIFT связано с большим количеством финансовых атак» . Symantec . 2016-05-26 . Проверено 19 октября 2017 .
  10. ^ a b c Ашок, Индия (2017-10-17). «Lazarus: северокорейские хакеры, подозреваемые в киберхейсте тайваньских банков, украли миллионы» . International Business Times UK . Проверено 19 октября 2017 .
  11. ^ "Два байта на 951 миллион долларов" . baesystemsai.blogspot.co.uk . Проверено 15 мая 2017 .
  12. ^ "Кибератаки, связанные с Северной Кореей, утверждают эксперты по безопасности" . Телеграф . 2017-05-16 . Проверено 16 мая 2017 .
  13. ^ Солон, Оливия (2017-05-15). «Программа-вымогатель WannaCry связана с Северной Кореей, - говорят эксперты по кибербезопасности» . Хранитель . ISSN 0261-3077 . Проверено 16 мая 2017 . 
  14. ^ GReAT - Группа глобальных исследований и анализа «Лаборатории Касперского» (03.03.2017). «Лазарь под капюшоном» . Securelist . Проверено 16 мая 2017 .
  15. ^ У программы-вымогателя WannaCry есть ссылка на подозреваемых северокорейских хакеров (03.03.2017). «Проводной» . Securelist . Проверено 16 мая 2017 .
  16. ^ «Еще одно свидетельство связи WannaCry с северокорейскими хакерами» . BBC News . 2017-05-23 . Проверено 23 мая 2017 .
  17. ^ «Хакеры Sony вызвали беспредел за годы до того, как они поразили компанию» . ПРОВОДНОЙ . Проверено 1 марта 2016 .
  18. ^ «Sony жестко взломали: что мы знаем и чего не знаем» . ПРОВОДНОЙ . Проверено 1 марта 2016 .
  19. ^ «Разбор и анализ взлома Sony в декабре 2014 года» . www.riskbasedsecurity.com . Проверено 1 марта 2016 .
  20. ^ Ван Бускерк, Питер (2016-03-01). «Пять причин, по которым операция« Блокбастер »имеет значение» . Новетта . Проверено 16 мая 2017 .
  21. ^ "Новетта раскрывает глубину атаки Sony Pictures - Новетта" . 24 февраля 2016 г.
  22. ^ «Лаборатория Касперского помогает нарушить деятельность Lazarus Group, ответственной за многочисленные разрушительные кибератаки | Лаборатория Касперского» . www.kaspersky.com . Архивировано из оригинала на 2016-09-01 . Проверено 29 февраля 2016 .
  23. ^ Лингвистический анализ показывает, что записки о выкупе WannaCry написаны южными китайцами, сообщает американская разведка (2017-05-15). «Времена пролива» . Securelist . Проверено 16 мая 2017 .
  24. ^ Харли, Никола (2017-10-14). «Северная Корея стоит за атакой WannaCry, которая нанесла ущерб NHS после кражи кибероружия США, - утверждает глава Microsoft» . Телеграф . ISSN 0307-1235 . Проверено 14 октября 2017 . 
  25. ^ a b c Аль Али, Нур (2018-01-16). «Северокорейская хакерская группа за крипто-атакой на юге» . Bloomberg.com . Проверено 17 января 2018 .
  26. ^ а б Харпал, Арджун (2018-01-17). «Поддерживаемые правительством Северной Кореи хакеры пытаются украсть криптовалюту у южнокорейских пользователей» . CNBC . Проверено 17 января 2018 .
  27. ^ a b Маскареньяс, Гиацинт (17.01.2018). «Lazarus: хакеры из Северной Кореи, связанные со взломом Sony, стояли за криптовалютными атаками в Южной Корее» . International Business Times UK . Проверено 17 января 2018 .
  28. ^ Лимитоне, Юлия (2018-01-17). «Биткойн, криптовалюты, нацеленные на северокорейских хакеров, говорится в отчете» . Fox Business . Проверено 17 января 2018 .
  29. ^ Эшфорд, Уорик (2018-01-17). «Северокорейские хакеры причастны к атакам на криптовалюту в Южной Корее» . Computer Weekly . Проверено 17 января 2018 .
  30. ^ "Южнокорейские файлы обмена криптовалютой для банкротства после взлома" . The Straits Times . 2017-12-20 . Проверено 17 января 2018 .
  31. ^ "Биткойн-обмены, нацеленные на северокорейских хакеров, говорят аналитики" . MSN Деньги . 2017-12-21. Архивировано из оригинала на 2018-01-18 . Проверено 17 января 2018 .
  32. ^ «Обновление расследования нарушения безопасности NiceHash - NiceHash» . NiceHash . Проверено 13 ноября 2018 .
  33. ^ a b Volz (16 сентября 2019 г.). «США рассматривают взлом Северной Кореи как угрозу национальной безопасности» . MSN . Проверено 16 сентября 2019 года .
  34. Стаббс, Джек (27 ноября 2020 г.). «Эксклюзив: предполагаемые северокорейские хакеры нацелены на производителя вакцины COVID AstraZeneca - источники» . Рейтер .
  35. ^ https://www.scmp.com/news/world/article/2131470/north-korea-barely-wired-so-how-did-it-become-global-hacking-power
  36. ^ EST, Джейсон Мердок 9 марта 18 в 9:54 (9 марта 2018 г.). «Пока Трамп сближается с Ким Чен Ыном, северокорейские хакеры нацеливаются на крупные банки» . Newsweek . Проверено 16 августа 2019 .
  37. ^ Мейерс, Адам (2018-04-06). "STARDUST CHOLLIMA | Профиль опасного актера | CrowdStrike" . Проверено 16 августа 2019 .
  38. ^ https://threatpost.com/lazarus-apt-spinoff-linked-to-banking-hacks/124746/
  39. ^ Альперович, Дмитрий (2014-12-19). «ФБР вовлекает Северную Корею в разрушительные атаки» . Проверено 16 августа 2019 .
  40. ^ Санг-Хун, Чхве (2017-10-10). «Северокорейские хакеры украли военные планы США и Южной Кореи, - говорит депутат» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 16 августа 2019 . 
  41. Гус, Дариен. «Северная Корея, укушенная биткойн-ошибкой» (PDF) . proofpoint.com . Проверено 16 августа 2019 .
  42. ^ Cimpanu, Каталин (17 февраля 2021). «США обвиняют еще двух членов северокорейской хакерской группы« Лазарь »» . ZDNet . Проверено 20 февраля 20 .

Источники [ править ]

  • Новости вирусов (2016). «Лаборатория Касперского помогает сорвать деятельность группы Lazarus, ответственной за многочисленные разрушительные кибератаки», « Лаборатория Касперского» .
  • RBS (2014). «Разбор и анализ взлома Sony в декабре 2014 года». Безопасность на основе рисков.
  • Кэмерон, Делл (2016). «Исследователи безопасности говорят, что в 2014 году компания« Lazarus Group »взломала Sony», The Daily Dot.
  • Зеттер, Ким (2014). «Sony жестко взломали: что мы знаем и чего не знаем», Wired.
  • Зеттер, Ким (2016). «Хакеры Sony за годы до того, как нанесли удар по компании, устроили хаос», Wired.

Внешние ссылки [ править ]

  • Обвинение Пак Джин Хёк, сентябрь 2018 г.
  • Обвинение Пак Джин Хёка, Джон Чан Хёка и Ким Ира, январь 2020 г.