나사로 그룹 | |
Формирование | c. 2009 [1] |
---|---|
Тип | Постоянная угроза повышенной сложности |
Цель | Кибершпионаж , кибервойна |
Область, край | Пхеньян , Северная Корея |
Методы | Нуль-дни , spearphishing , вредоносные программы , дезинформация , бэкдоры , капельницы |
Официальный язык | Корейский |
Головная организация | Главное разведывательное бюро, Корейский компьютерный центр |
Принадлежности | Блок 180 , AndAriel (группа) |
Ранее назывался | APT38 Боги Апостолы Боги Ученики Хранители мира ZINC Команда Whois Скрытая кобра |
Lazarus Group (также известная под другими прозвищами, такими как Стражи мира или Команда Whois ) - это киберпреступная группа, состоящая из неизвестного числа лиц. Хотя о Lazarus Group известно немного, исследователи приписывают им множество кибератак за последнее десятилетие. Первоначально преступная группа, в настоящее время классифицируется как серьезная постоянная угроза из-за предполагаемого характера, угрозы и широкого набора методов, используемых при проведении операции. Имена, данные компаниями, занимающимися кибербезопасностью, включают HIDDEN COBRA (от разведывательного сообщества США ) [1] и Zinc (отMicrosoft ). [2] [3] [4]
Lazarus Group имеет прочные связи с Северной Кореей . [5] [6] США Федеральное бюро расследований говорит , что Лазарь группа северокорейский « при поддержке государства взлома организации». [7]
История [ править ]
Самая ранняя известная атака, за которую несет ответственность группа, известна как «Операция Троя», которая проводилась с 2009 по 2012 год. Это была кампания кибершпионажа, в которой использовались простые методы распределенной атаки типа «отказ в обслуживании» (DDoS) для нацеливания на Правительство Южной Кореи в Сеуле. Они также несли ответственность за атаки в 2011 и 2013 годах. Возможно, они также стояли за атакой 2007 года, нацеленной на Южную Корею, но это все еще неясно. [8] Заметная атака, которой известна группа, - это нападение на Sony Pictures в 2014 году . Атака Sony использовала более изощренные методы и показала, насколько продвинулась группа с течением времени.
Сообщалось, что в 2015 году Lazarus Group украла 12 миллионов долларов США у Banco del Austro в Эквадоре и 1 миллион долларов США у вьетнамского банка Tien Phong Bank [9]. Они также напали на банки в Польше и Мексике. [10] 2016 ограбление банка [11] включали нападение на Бангладеш банк , успешно красть US $ 81 млн было отнести к группе. Сообщалось, что в 2017 году группа Lazarus украла 60 миллионов долларов США из Дальневосточного международного банка Тайваня, хотя фактическая сумма похищения была неясна, и большая часть средств была возвращена. [10]
Неясно, кто на самом деле стоит за группой, но сообщения СМИ предполагают, что у группы есть связи с Северной Кореей . [12] [13] [10] « Лаборатория Касперского» сообщила в 2017 году, что Lazarus, как правило, концентрировались на шпионаже и кибератаках проникновения, тогда как подгруппа в их организации, которую Касперский назвал Bluenoroff, специализировалась на финансовых кибератаках. Касперский обнаружил несколько атак по всему миру и прямую связь ( IP-адрес ) между Bluenoroff и Северной Кореей. [14]
Однако Касперский также признал, что повторение кода могло быть «ложным флагом», предназначенным для того, чтобы ввести в заблуждение следователей и приписать атаку Северной Корее, учитывая, что всемирная кибератака червя WannaCry также скопировала методы АНБ. Эта программа-вымогатель использует эксплойт АНБ, известный как EternalBlue, который хакерская группа, известная как Shadow Brokers, обнародовала в апреле 2017 года. [15] Symantec сообщила в 2017 году, что «весьма вероятно», что Lazarus стоял за атакой WannaCry. [16]
Операция "Троя", 2009 г. [ править ]
Следующий инцидент произошел 4 июля 2009 года и положил начало операции «Троя». В этой атаке использовалось вредоносное ПО Mydoom и Dozer для запуска крупномасштабной, но довольно простой DDoS-атаки на веб-сайты США и Южной Кореи. Залп атак поразил около трех десятков веб-сайтов и поместил текст «Память Дня независимости» в главную загрузочную запись (MBR).
Кибератака в Южной Корее, 2013 г. [ править ]
Со временем атаки этой группы стали более изощренными; их методы и инструменты стали более развитыми и эффективными. Атака в марте 2011 года, известная как «Десять дней дождя», была нацелена на южнокорейские СМИ, финансовую и критическую инфраструктуру и состояла из более сложных DDoS-атак, исходящих от взломанных компьютеров в Южной Корее. Атаки продолжились 20 марта 2013 года с помощью DarkSeoul, атаки с использованием очистителя, нацеленной на три южнокорейские вещательные компании, финансовые институты и интернет-провайдера. В то время две другие группы, известные под именами «NewRomanic Cyber Army Team и WhoIs Team», взяли на себя ответственность за эту атаку, но исследователи не знали, что в то время за ней стояла Lazarus Group. Сегодня исследователи знают Lazarus Group как супергруппу, стоящую за подрывными атаками. [17]
Конец 2014 г .: нарушение Sony [ править ]
Атаки Lazarus Group достигли своей кульминации 24 ноября 2014 года. В этот день на Reddit появилась публикация о том, что Sony Pictures была взломана неизвестным образом; преступники назвали себя «Стражами мира». Большие объемы данных были украдены и постепенно просочились в течение нескольких дней после атаки. В интервью с кем-то, утверждающим, что он является частью группы, говорится, что они перекачивали данные Sony более года. [18]
Хакерам удалось получить доступ к ранее неизданным фильмам, электронной почте и личной информации около 4000 сотрудников. [19]
Расследование в начале 2016 года: операция «Блокбастер» [ править ]
Под названием "Операция Блокбастер", коалиция охранных компаний, во главе с Novetta , [20] [21] был в состоянии анализировать образцы вредоносных программ обнаружены в различных инцидентах кибер-безопасности. Используя эти данные, команда смогла проанализировать методы, используемые хакерами. Они связали Lazarus Group с рядом атак посредством повторного использования кода. [22]
Середина 2017 г. WannaCry Attack [ править ]
Вредоносное ПО WannaCry, поразившее до 300 000 компьютеров по всему миру, вероятно, создано хакерами из южного Китая, Гонконга, Тайваня или Сингапура, сообщила американская разведка. [23] Президент Microsoft приписал атаку WannaCry Северной Корее. [24]
Криптовалютные атаки 2017 г. [ править ]
В 2018 году Recorded Future опубликовала отчет, в котором Lazarus Group связывается с атаками на пользователей криптовалюты Биткойн и Monero в основном в Южной Корее. [25] Эти атаки были технически похожи на предыдущие атаки с использованием вымогателя WannaCry и атаки на Sony Pictures. [26] Одна из тактик, использованных хакерами Lazarus, заключалась в использовании уязвимостей в южнокорейском текстовом редакторе Hancom 's Hangul . [26] Другой тактикой было использование целевых фишинговых приманок, содержащих вредоносное ПО, которые были отправлены южнокорейским студентам и пользователям бирж криптовалюты, таких как Coinlink.. Если пользователь открывал вредоносную программу, она крала адреса электронной почты и пароли. [27] Coinlink отрицал факт взлома их сайта, либо адреса электронной почты и пароли пользователей были взломаны. [27] В докладе сделан вывод , что «Это в конце-2017 кампания является продолжением интереса Северной Кореи в криптовалюта, который мы теперь знаем , охватывает широкий спектр деятельности , включая добычу полезных ископаемых, вымогателей и прямой кражи ...» [25] В докладе также сказал, что Северная Корея использовала эти криптовалютные атаки, чтобы обойти международные финансовые санкции. [28] В феврале 2017 года северокорейские хакеры украли 7 миллионов долларов с южнокорейской биржи Bithumb . [29]Youbit, еще одна южнокорейская компания, занимающаяся обменом биткойнов, объявила о банкротстве в декабре 2017 года после того, как 17% ее активов были украдены в результате кибератак после более ранней атаки в апреле 2017 года. [30] В атаках обвиняли Lazarus и северокорейских хакеров. [31] [25] Nicehash , рынок облачного майнинга криптовалюты, потерял более 4500 биткойнов в декабре 2017 года. В обновленной информации о расследованиях утверждалось, что атака связана с Lazarus Group. [32]
Атаки в сентябре 2019 г. [ править ]
В середине сентября 2019 года США объявили о появлении новой версии вредоносного ПО под названием ELECTRICFISH . [33] С начала 2019 года северокорейские агенты предприняли пять крупных кибер-краж по всему миру, включая успешную кражу на 49 миллионов долларов из учреждения в Кувейте. [33]
Атаки фармацевтических компаний в конце 2020 года [ править ]
Из-за продолжающейся пандемии COVID-19 фармацевтические компании стали основными целями для Lazarus Group. Используя методы целевого фишинга, члены Lazarus Group выдавали себя за сотрудников здравоохранения и связывались с сотрудниками фармацевтических компаний, используя вредоносные ссылки. Предполагается, что нападениями были подвергнуты несколько крупных фармацевтических организаций, но подтверждено лишь одно - британская компания AstraZeneca . Согласно отчету Reuters [34], жертвами стали широкий круг сотрудников, в том числе многие из них, участвовавшие в исследованиях вакцины COVID-19. Неизвестно, какова была цель Lazarus Group в этих атаках, но вероятные возможности включают:
- Кража конфиденциальной информации для продажи с целью получения прибыли.
- Схемы вымогательства.
- Предоставление иностранным режимам доступа к собственным исследованиям COVID-19.
AstraZeneca не прокомментировала инцидент, и эксперты не верят, что какие-либо конфиденциальные данные были скомпрометированы.
Образование [ править ]
Северокорейских хакеров отправляют профессионально в Шэньян, Китай, для прохождения специальной подготовки. Их обучают развертывать вредоносные программы всех типов на компьютерах, компьютерных сетях и серверах. Образование внутри страны включает Ким Чака технологический университет и Ким Ир Сена университета . [35]
Единицы [ править ]
Считается, что у Лазаря две единицы. [36]
BlueNorOff [ править ]
BlueNorOff - это финансово мотивированная группа, которая несет ответственность за незаконные переводы денег посредством подделки заказов от Swift . BlueNorOff также называется APT38 (от Mandiant ) и Stardust Chollima (от Crowdstrike ). [37] [38]
AndAriel [ править ]
С точки зрения логистики, AndAriel нацелен на Южную Корею . Альтернативное имя Ариэля - Тихая Чоллима из-за скрытности этой подгруппы. [39] Любая организация в Южной Корее уязвима для AndAriel. Цели включают правительство и оборону, а также любой экономический символ. [40] [41]
Обвинения [ править ]
В феврале 2021 года Министерство юстиции США предъявило обвинение трем членам Главного разведывательного управления , северокорейской военной разведки, в участии в нескольких хакерских кампаниях Lazarus: Джин Хёк, Джон Чан Хёк и Ким Ир. Пак Джин Хёк уже был обвинен ранее в сентябре 2018 года. Эти люди не находятся под стражей в США. Канадцу и двум китайцам также были предъявлены обвинения в том, что они выступали в роли денежных мулов и отмывали деньги для группы Lazarus. [42]
См. Также [ править ]
- Отношения США и Северной Кореи
- Рикошет Чоллима
- Кимсуки
- Пак Джин Хёк
Ссылки [ править ]
- ^ Фольц (16 сентября 2019). «США рассматривают взлом Северной Кореи как угрозу национальной безопасности» . MSN .
- ^ «Microsoft и Facebook предотвращают атаки вредоносных программ ZINC, чтобы защитить клиентов и Интернет от продолжающихся киберугроз» . Microsoft о проблемах . 2017-12-19 . Проверено 16 августа 2019 .
- ^ «ФБР предотвращает связанное с Lazarus северокорейское вредоносное ПО для наблюдения» . ЭТО ПРО . Проверено 16 августа 2019 .
- ^ Герреро-Сааде, Хуан Андрес; Мориучи, Присцилла (16 января 2018 г.). «Северная Корея нацелена на южнокорейских пользователей криптовалюты и биржу в кампании в конце 2017 года» . Записанное будущее . Архивировано из оригинала на 16 января 2018 года.
- ^ «Кто такой Lazarus? Новейший коллектив Северной Кореи по борьбе с киберпреступностью» . www.cyberpolicy.com . Проверено 26 августа 2020 .
- ^ Бидхэм, Мэтью (2020-01-09). «Северокорейская хакерская группа Lazarus использует Telegram для кражи криптовалюты» . Хард-форк | Следующая Сеть . Проверено 26 августа 2020 .
- ^ "ПАРК ДЖИН ХЁК" . Федеральное бюро расследований . Проверено 26 августа 2020 .
- ^ «Исследователи безопасности говорят, что таинственная« Lazarus Group »взломала Sony в 2014 году» . Daily Dot . Проверено 29 февраля 2016 .
- ^ «Вредоносное ПО злоумышленников SWIFT связано с большим количеством финансовых атак» . Symantec . 2016-05-26 . Проверено 19 октября 2017 .
- ^ a b c Ашок, Индия (2017-10-17). «Lazarus: северокорейские хакеры, подозреваемые в киберхейсте тайваньских банков, украли миллионы» . International Business Times UK . Проверено 19 октября 2017 .
- ^ "Два байта на 951 миллион долларов" . baesystemsai.blogspot.co.uk . Проверено 15 мая 2017 .
- ^ "Кибератаки, связанные с Северной Кореей, утверждают эксперты по безопасности" . Телеграф . 2017-05-16 . Проверено 16 мая 2017 .
- ^ Солон, Оливия (2017-05-15). «Программа-вымогатель WannaCry связана с Северной Кореей, - говорят эксперты по кибербезопасности» . Хранитель . ISSN 0261-3077 . Проверено 16 мая 2017 .
- ^ GReAT - Группа глобальных исследований и анализа «Лаборатории Касперского» (03.03.2017). «Лазарь под капюшоном» . Securelist . Проверено 16 мая 2017 .
- ^ У программы-вымогателя WannaCry есть ссылка на подозреваемых северокорейских хакеров (03.03.2017). «Проводной» . Securelist . Проверено 16 мая 2017 .
- ^ «Еще одно свидетельство связи WannaCry с северокорейскими хакерами» . BBC News . 2017-05-23 . Проверено 23 мая 2017 .
- ^ «Хакеры Sony вызвали беспредел за годы до того, как они поразили компанию» . ПРОВОДНОЙ . Проверено 1 марта 2016 .
- ^ «Sony жестко взломали: что мы знаем и чего не знаем» . ПРОВОДНОЙ . Проверено 1 марта 2016 .
- ^ «Разбор и анализ взлома Sony в декабре 2014 года» . www.riskbasedsecurity.com . Проверено 1 марта 2016 .
- ^ Ван Бускерк, Питер (2016-03-01). «Пять причин, по которым операция« Блокбастер »имеет значение» . Новетта . Проверено 16 мая 2017 .
- ^ "Новетта раскрывает глубину атаки Sony Pictures - Новетта" . 24 февраля 2016 г.
- ^ «Лаборатория Касперского помогает нарушить деятельность Lazarus Group, ответственной за многочисленные разрушительные кибератаки | Лаборатория Касперского» . www.kaspersky.com . Архивировано из оригинала на 2016-09-01 . Проверено 29 февраля 2016 .
- ^ Лингвистический анализ показывает, что записки о выкупе WannaCry написаны южными китайцами, сообщает американская разведка (2017-05-15). «Времена пролива» . Securelist . Проверено 16 мая 2017 .
- ^ Харли, Никола (2017-10-14). «Северная Корея стоит за атакой WannaCry, которая нанесла ущерб NHS после кражи кибероружия США, - утверждает глава Microsoft» . Телеграф . ISSN 0307-1235 . Проверено 14 октября 2017 .
- ^ a b c Аль Али, Нур (2018-01-16). «Северокорейская хакерская группа за крипто-атакой на юге» . Bloomberg.com . Проверено 17 января 2018 .
- ^ а б Харпал, Арджун (2018-01-17). «Поддерживаемые правительством Северной Кореи хакеры пытаются украсть криптовалюту у южнокорейских пользователей» . CNBC . Проверено 17 января 2018 .
- ^ a b Маскареньяс, Гиацинт (17.01.2018). «Lazarus: хакеры из Северной Кореи, связанные со взломом Sony, стояли за криптовалютными атаками в Южной Корее» . International Business Times UK . Проверено 17 января 2018 .
- ^ Лимитоне, Юлия (2018-01-17). «Биткойн, криптовалюты, нацеленные на северокорейских хакеров, говорится в отчете» . Fox Business . Проверено 17 января 2018 .
- ^ Эшфорд, Уорик (2018-01-17). «Северокорейские хакеры причастны к атакам на криптовалюту в Южной Корее» . Computer Weekly . Проверено 17 января 2018 .
- ^ "Южнокорейские файлы обмена криптовалютой для банкротства после взлома" . The Straits Times . 2017-12-20 . Проверено 17 января 2018 .
- ^ "Биткойн-обмены, нацеленные на северокорейских хакеров, говорят аналитики" . MSN Деньги . 2017-12-21. Архивировано из оригинала на 2018-01-18 . Проверено 17 января 2018 .
- ^ «Обновление расследования нарушения безопасности NiceHash - NiceHash» . NiceHash . Проверено 13 ноября 2018 .
- ^ a b Volz (16 сентября 2019 г.). «США рассматривают взлом Северной Кореи как угрозу национальной безопасности» . MSN . Проверено 16 сентября 2019 года .
- ↑ Стаббс, Джек (27 ноября 2020 г.). «Эксклюзив: предполагаемые северокорейские хакеры нацелены на производителя вакцины COVID AstraZeneca - источники» . Рейтер .
- ^ https://www.scmp.com/news/world/article/2131470/north-korea-barely-wired-so-how-did-it-become-global-hacking-power
- ^ EST, Джейсон Мердок 9 марта 18 в 9:54 (9 марта 2018 г.). «Пока Трамп сближается с Ким Чен Ыном, северокорейские хакеры нацеливаются на крупные банки» . Newsweek . Проверено 16 августа 2019 .
- ^ Мейерс, Адам (2018-04-06). "STARDUST CHOLLIMA | Профиль опасного актера | CrowdStrike" . Проверено 16 августа 2019 .
- ^ https://threatpost.com/lazarus-apt-spinoff-linked-to-banking-hacks/124746/
- ^ Альперович, Дмитрий (2014-12-19). «ФБР вовлекает Северную Корею в разрушительные атаки» . Проверено 16 августа 2019 .
- ^ Санг-Хун, Чхве (2017-10-10). «Северокорейские хакеры украли военные планы США и Южной Кореи, - говорит депутат» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 16 августа 2019 .
- ↑ Гус, Дариен. «Северная Корея, укушенная биткойн-ошибкой» (PDF) . proofpoint.com . Проверено 16 августа 2019 .
- ^ Cimpanu, Каталин (17 февраля 2021). «США обвиняют еще двух членов северокорейской хакерской группы« Лазарь »» . ZDNet . Проверено 20 февраля 20 .
Источники [ править ]
- Новости вирусов (2016). «Лаборатория Касперского помогает сорвать деятельность группы Lazarus, ответственной за многочисленные разрушительные кибератаки», « Лаборатория Касперского» .
- RBS (2014). «Разбор и анализ взлома Sony в декабре 2014 года». Безопасность на основе рисков.
- Кэмерон, Делл (2016). «Исследователи безопасности говорят, что в 2014 году компания« Lazarus Group »взломала Sony», The Daily Dot.
- Зеттер, Ким (2014). «Sony жестко взломали: что мы знаем и чего не знаем», Wired.
- Зеттер, Ким (2016). «Хакеры Sony за годы до того, как нанесли удар по компании, устроили хаос», Wired.
Внешние ссылки [ править ]
- Обвинение Пак Джин Хёк, сентябрь 2018 г.
- Обвинение Пак Джин Хёка, Джон Чан Хёка и Ким Ира, январь 2020 г.