Открыть сервис

Lazarus Group

Lazarus Group — это хакерская группировка, предположительно связанная с правительством КНДР, специализирующаяся на кибершпионаже, саботаже и финансовых хищениях. Группа известна широким спектром целей, включая правительственные учреждения, оборонные предприятия, финансовые институты и криптовалютные биржи по всему миру. Lazarus Group считается одной из самых активных и опасных киберпреступных организаций, действующих с середины 2000-х годов.

История

Происхождение и первые атаки (2007–2014)

Первые следы деятельности Lazarus Group прослеживаются с 2007 года, когда она начала атаки на южнокорейские и американские цели. В 2009 году группировка провела серию DDoS-атак на правительственные и финансовые сайты Южной Кореи (операция «Троянский конь»). В 2011 году последовала атака на серверы южнокорейской компании Nonghyup, что привело к сбоям в работе банковской системы. В 2013 году группировка атаковала южнокорейские телерадиовещательные компании (KBS, MBC, YTN) и банки, вызвав масштабные сбои в их работе.

Атака на Sony Pictures (2014)

В ноябре 2014 года Lazarus Group осуществила взлом компьютерных сетей кинокомпании Sony Pictures Entertainment. Хакеры похитили конфиденциальные данные, включая личные письма сотрудников, финансовые документы и копии невыпущенных фильмов. Атака была приурочена к выходу комедийного фильма «Интервью», сюжет которого включал покушение на лидера КНДР Ким Чен Ына. В результате взлома Sony Pictures была вынуждена отложить премьеру фильма, а затем выпустить его в ограниченный прокат. Атака привела к значительным финансовым потерям и репутационному ущербу для компании. ФБР официально обвинило в атаке правительство КНДР, хотя Пхеньян отрицал свою причастность.

Киберсаботаж в Южной Корее (2016)

В 2016 году Lazarus Group атаковала южнокорейские правительственные и военные сети. Хакеры похитили данные о военных планах и личном составе, включая информацию о совместных учениях США и Южной Кореи. Атака была расценена как акт кибершпионажа.

Атака на банк Бангладеш (2016)

В феврале 2016 года Lazarus Group совершила одну из крупнейших в истории кибератак на финансовую систему. Хакеры проникли в сеть Центрального банка Бангладеш и попытались похитить 951 миллион долларов со счетов банка в Федеральном резервном банке Нью-Йорка. В результате атаки было украдено 81 миллион долларов, часть из которых удалось вернуть. Атака была осуществлена с использованием фишинговых писем и вредоносного ПО, которое позволило хакерам получить доступ к системам SWIFT. Этот инцидент привлёк внимание международного сообщества к уязвимостям глобальной финансовой системы.

Атаки на криптовалютные биржи (2017–2023)

С 2017 года Lazarus Group переключила внимание на криптовалютные биржи и блокчейн-проекты. Группа атаковала южнокорейские биржи Youbit (2017) и Coinrail (2018), а также японскую биржу Coincheck (2018). В 2019 году была атакована мальтийская биржа Binance (крупнейшая в мире по объёму торгов), хотя ущерб был незначительным. В 2022 году Lazarus Group атаковала мост Harmony Horizon, похитив 100 миллионов долларов в криптовалюте. В 2023 году была атакована платформа Atomic Wallet, откуда было украдено около 100 миллионов долларов. По оценкам экспертов, с 2017 по 2023 год группировка похитила более 2 миллиардов долларов в криптовалюте.

Методы и инструменты

Социальная инженерия и фишинг

Lazarus Group активно использует фишинговые письма для первоначального проникновения в сети жертв. Хакеры создают поддельные страницы входа в популярные сервисы (Google, Microsoft, LinkedIn) и рассылают их сотрудникам целевых организаций. После ввода учётных данных жертвы хакеры получают доступ к корпоративным сетям. Группа также использует «угон корпоративной электронной почты» (BEC) для мошенничества с финансовыми переводами.

Вредоносное ПО

Lazarus Group разрабатывает и использует широкий спектр вредоносных программ, включая:

  • Backdoor — трояны для удалённого управления (например, RokRAT, BLINDINGCAN).
  • Ransomwareпрограммы-вымогатели (например, WannaCry, хотя атака 2017 года была приписана группировке лишь частично).
  • Keyloggers — программы для перехвата нажатий клавиш.
  • Crypto miners — майнеры криптовалют для скрытого использования ресурсов жертвы.

Эксплойты и уязвимости

Группа активно использует уязвимости нулевого дня (zero-day) в популярных программах, включая браузеры, офисные пакеты и операционные системы. В 2021 году Lazarus Group использовала уязвимость в Google Chrome для атаки на южнокорейских исследователей в области кибербезопасности.

Криптовалютные операции

Для отмывания похищенных средств Lazarus Group использует сложные схемы с участием криптовалютных миксеров (например, Tornado Cash), децентрализованных бирж и многоуровневых переводов. По данным аналитиков, группировка управляет сотнями криптовалютных кошельков, которые постоянно меняются для затруднения отслеживания.

Цели и мотивация

Политический шпионаж

Основной целью Lazarus Group является кибершпионаж в интересах правительства КНДР. Группа атакует правительственные учреждения, оборонные предприятия и научно-исследовательские институты в Южной Корее, США, Японии и других странах. Похищенные данные используются для получения военных и политических секретов, а также для разработки собственных технологий.

Финансовая выгода

С 2016 года Lazarus Group активно занимается финансовыми хищениями, особенно в сфере криптовалют. Похищенные средства используются для финансирования ядерной и ракетной программ КНДР, а также для поддержания режима. По оценкам ООН, КНДР получает до 2 миллиардов долларов в год от кибератак.

Саботаж и дестабилизация

Группа также проводит атаки, направленные на дестабилизацию работы критической инфраструктуры (энергетика, транспорт, связь) в Южной Корее и других странах. В 2017 году атака на южнокорейские атомные электростанции привела к утечке данных, но не вызвала серьёзных сбоев.

Структура и персонал

Точная структура Lazarus Group неизвестна, но, по данным разведок, она состоит из нескольких подгрупп, каждая из которых специализируется на определённых задачах:

  • Bluenoroff — подгруппа, занимающаяся финансовыми атаками (атака на банк Бангладеш).
  • Andariel — подгруппа, специализирующаяся на шпионаже и атаках на южнокорейские цели.
  • APT38 — подгруппа, отвечающая за атаки на финансовые институты.

По оценкам, в группировке работает от 100 до 200 человек, включая хакеров, программистов, аналитиков и специалистов по отмыванию денег. Большинство из них базируются в КНДР, но некоторые могут работать из-за границы.

Реакция международного сообщества

Санкции и правовые меры

США, ЕС, Южная Корея и Япония ввели санкции против лиц и организаций, связанных с Lazarus Group. В 2019 году Министерство финансов США внесло группировку в список санкций за кибератаки. В 2021 году ООН опубликовала доклад, в котором прямо обвинила КНДР в кибератаках, совершённых Lazarus Group.

Кибербезопасность

Международные организации и частные компании активно разрабатывают меры защиты от атак Lazarus Group. В 2022 году Microsoft опубликовала отчёт о методах группировки и выпустила обновления безопасности для своих продуктов. В 2023 году компания Chainalysis (специализирующаяся на анализе блокчейна) помогла отследить и заблокировать часть похищенных средств.

Критика и споры

Некоторые эксперты и журналисты высказывают сомнения в том, что все атаки, приписываемые Lazarus Group, действительно совершены одной группировкой. Существует мнение, что часть атак могла быть совершена другими хакерскими группами, а обвинения в адрес КНДР используются для политического давления. Кроме того, методы атрибуции кибератак (связывание атаки с конкретным государством) остаются предметом дискуссий в профессиональном сообществе.

Источники

  • Отчёт ФБР об атаке на Sony Pictures (2014)
  • Доклад ООН о кибератаках КНДР (2021)
  • Публикации Microsoft Threat Intelligence Center (MSTIC) о Lazarus Group (2022)
  • Аналитические отчёты компании Chainalysis (2023)
  • Материалы Министерства финансов США о санкциях против Lazarus Group (2019)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →