Lazarus
Lazarus (также известная как Lazarus Group, Hidden Cobra, Guardians of Peace) — это хакерская группировка, предположительно связанная с правительством КНДР (Северной Кореи). Группировка известна проведением целенаправленных кибератак, направленных на кражу финансовых средств, шпионаж и саботаж. Деятельность Lazarus привлекла внимание международного сообщества после ряда громких атак, включая взлом банковской системы Бангладеш в 2016 году и атаку с использованием вируса-вымогателя WannaCry в 2017 году. По оценкам специалистов по кибербезопасности, группировка действует как минимум с 2009 года.
История
Первые упоминания о деятельности Lazarus относятся к 2009 году, когда были зафиксированы атаки на правительственные и военные сайты Южной Кореи и США. Однако широкую известность группировка получила после атаки на компанию Sony Pictures Entertainment в 2014 году. Атака, проведённая под именем «Guardians of Peace», привела к утечке конфиденциальных данных, включая личные письма сотрудников и невыпущенные фильмы. Власти США официально обвинили КНДР в организации этой атаки, назвав её актом кибервандализма в ответ на выпуск фильма «Интервью», сюжет которого включал покушение на лидера КНДР.
В 2016 году Lazarus осуществила одну из самых крупных финансовых краж в истории — взлом системы межбанковских переводов SWIFT Центрального банка Бангладеш. Злоумышленникам удалось похитить 81 миллион долларов США. Расследование показало, что атака была тщательно спланирована и включала использование вредоносного ПО для перехвата управления финансовыми операциями.
В 2017 году группировка была связана с распространением вируса-вымогателя WannaCry, который затронул более 200 000 компьютеров в 150 странах. Атака парализовала работу многих организаций, включая британскую Национальную службу здравоохранения. Хотя первоначально вымогатель требовал выкуп в биткоинах, многие эксперты сочли атаку актом саботажа, а не финансового мошенничества, из-за низкой эффективности механизма получения выкупа.
С 2018 по 2023 годы Lazarus продолжала активность, сосредоточившись на атаках на криптовалютные биржи и блокчейн-проекты. По данным аналитиков, группировка похитила криптовалюты на сумму более 2 миллиардов долларов. Среди крупных целей — биржа KuCoin (2020 год, 275 миллионов долларов) и проект Axie Infinity (2022 год, 620 миллионов долларов).
Методы и инструменты
Lazarus известна использованием сложных и многоступенчатых методов атак. Группировка применяет как стандартные вредоносные программы, так и собственные разработки.
Социальная инженерия
Основным методом проникновения в сети жертв является фишинг. Злоумышленники рассылают целевые письма от имени реальных организаций или коллег, содержащие вредоносные вложения или ссылки. Часто атаки предваряются длительным сбором информации о сотрудниках компании через открытые источники и взломанные почтовые ящики.
Вредоносное ПО
Lazarus разработала и использует множество штаммов вредоносного ПО. Среди наиболее известных:
- Destover — использовался в атаке на Sony Pictures. Уничтожает данные на заражённых компьютерах.
- WannaCry — вирус-вымогатель, который шифрует файлы и требует выкуп. Позже был связан с Lazarus на основе анализа кода и методов распространения.
- AppleJeus — семейство вредоносных программ, маскирующихся под легитимные приложения для торговли криптовалютами. Используется для кражи средств с криптокошельков.
- Manuscrypt — бэкдор, позволяющий удалённо управлять заражённой системой. Часто используется в многоэтапных атаках.
Использование легитимных инструментов
Для сокрытия своей деятельности Lazarus часто использует легитимные системные утилиты Windows (например, PowerShell, WMI) и инструменты для администрирования (например, PuTTY, WinSCP). Это позволяет атакам оставаться незамеченными для стандартных антивирусных решений.
Цели и мотивы
Мотивы деятельности Lazarus, по мнению экспертов, носят как финансовый, так и политический характер.
Финансовая выгода
Начиная с 2016 года, основной целью группировки стала кража денег. Атаки на банки, системы SWIFT и криптовалютные биржи принесли Lazarus миллиарды долларов. По данным ООН, часть этих средств используется для финансирования программ вооружений КНДР, включая ядерную и ракетную программы, что является нарушением международных санкций.
Шпионаж и саботаж
Lazarus также проводит атаки для получения разведывательной информации. Целями становятся правительственные учреждения, оборонные предприятия и научно-исследовательские институты в Южной Корее, США, Японии и других странах. Атаки могут быть направлены на кражу военных секретов, технологий двойного назначения или дестабилизацию работы критической инфраструктуры.
Политическое давление
Атака на Sony Pictures и некоторые другие операции Lazarus рассматриваются как попытки оказать давление на правительства и корпорации, критикующие режим КНДР. Утечка данных и саботаж служат инструментами для запугивания и создания репутационных рисков.
Атрибуция и международная реакция
Атрибуция атак Lazarus КНДР основана на техническом анализе вредоносного ПО, анализе инфраструктуры (серверов, IP-адресов), методах работы и поведенческих паттернах, характерных для северокорейских хакеров. Власти США, Южной Кореи, Японии и ЕС официально возложили ответственность на КНДР за ряд атак.
В ответ на действия Lazarus были введены санкции против физических и юридических лиц, подозреваемых в причастности к группировке. Министерство финансов США включило Lazarus в список санкционных организаций. Также проводятся совместные операции правоохранительных органов разных стран по блокировке инфраструктуры группировки и возврату похищенных средств. Например, в 2022 году Министерство юстиции США объявило о конфискации криптовалюты на сумму 500 000 долларов, похищенной Lazarus.
Критика и сложности в оценке
Деятельность Lazarus вызывает критику со стороны международного сообщества из-за масштаба ущерба для частных лиц, компаний и государственных учреждений. Атаки WannaCry нанесли серьёзный ущерб здравоохранению Великобритании, а кражи криптовалют подрывают доверие к цифровым финансовым системам.
Существуют также сложности в точной атрибуции атак. Поскольку Lazarus использует сложные методы маскировки и может действовать через подставные серверы по всему миру, некоторые эксперты предостерегают от поспешных выводов. Кроме того, существует мнение, что часть атак, приписываемых Lazarus, могла быть совершена другими группами или хакерами-одиночками, использующими схожие инструменты.
Источники
- Доклад ООН о деятельности КНДР в киберпространстве (2019).
- Отчёты Министерства юстиции США по делам о киберпреступлениях (2018, 2022).
- Аналитические отчёты компаний по кибербезопасности: Kaspersky Lab, Symantec, Mandiant, CrowdStrike.
- Публикации Центра стратегических и международных исследований (CSIS) по Северной Корее.
- Материалы расследования атаки на Центральный банк Бангладеш (2016).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →