Lazarus Group

Lazarus Group (также известная как Guardians of Peace или Whois Team) — группа киберпреступников. Специалисты по киберпреступности приписывают группе множество кибератак и относят ее к типу «постоянная серьезная угроза». Специалисты по кибербезопасности используют для обозначения группы такие названия, как HIDDEN COBRA (Разведывательное сообщество США)^[2] и Zinc (Microsoft)^[3][4][5].

Lazarus Group
Локация	КНДР
Тип организации	хакерство, постоянная серьёзная угроза
Официальный язык	корейский
Основатели	Reconnaissance General Bureau[вд]
Основание
Дата основания	около 2009[1]
Материнская организация	Reconnaissance General Bureau Корейский компьютерный центр

Lazarus Group известна своими связями с Северной Кореей^[6][7][8].

Известные атаки

Киберограбление банка Бангладеш

См. также: Фальшивые авизо

Крупнейшее киберограбление произошло в 2016 году. Хакеры сделали тридцать пять фальшивых запросов через сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Центральному банку Бангладеш. По пяти из тридцати пяти запросов был успешно переведен 101 миллион долларов США, из которых 20 миллионов долларов были отправлены в Шри-Ланку и 81 миллион долларов США — на Филиппины. Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильным написанием инструкции^[9]. Эксперты по кибербезопасности заявили, что за атакой стояла базирующаяся в Северной Корее Lazarus Group^{[10] [11]}.

2022 год

В марте 2022 года хакеры похитили 620 миллионов долларов (173 600 ETH и 25,5 млн USDC) у NFT-игры Axie Infinity, успешно атаковав кроссчейн-мост Ronin. Расследование ФБР связало атаку с Lazarus Group и северокорейской APT38. Вслед за этим Госдеп США назначил вознаграждение в 5 млн долларов за информацию о хакерских операциях Северной Кореи. 14 апреля 2022 года Управление по контролю за иностранными активами Минфина США включило Lazarus Group в список SDN^[12][13][14].

В июне Lazarus похитили около 100 млн долларов в различных криптовалютах у блокчейн-проекта Harmony, взломав кроссчейн-мост Horizon^[15].

Lazarus отмывали похищенные у Axie Infinity и Harmony средства через миксер-сервисы. Через Blender.io^[англ.] они пытались провести криптовалюту Axie Infinity на 20,5 млн долларов. За это власти США в мае 2022 наложили санкции на Blender^[16]. Через «миксер» Tornado Cash Lazarus пытались вывести 455 млн долларов, похищенных у Axie Infinity, и порядка 96 млн долларов криптоактивов Harmony. В августе минфин США ввёл санкции и против Tornado Cash^[17]. Блокировка «миксеров» сильно осложнила для Lazarus вывод средств. Аналитики Chainalysis^[англ.] отмечали, что к осени 2022 года большая часть украденных у Axie Infinity средств по-прежнему лежала неизрасходованной в криптовалютных кошельках хакеров^[12].

На протяжении 2022 года, по данным аналитиков Cisco Talos^[англ.], Symantec и AhnLab^[кор.], Lazarus систематически атаковали поставщиков энергии по всему миру, в том числе в США, Канаде и Японии. Их целью было получение долгосрочного доступа к закрытым сетям и последующая кража данных^[18]

2023 год

В июне 2023 года группировка похитила не менее 35 млн $ у пользователей криптокошелька Atomic Wallet. Из всей суммы 17 млн $ украли только всего с 5 адресов. Есть жертва, которая потеряла 7,95 млн USDT. В отчете компании рассказывается, что первой уликой, указывающей на Lazarus, является стратегия отмывания украденных активов, которая полностью соответствует схемам, которые исследователи наблюдали ранее. Вторая улика — использование криптовалютного миксера Sinbad для отмывания украденных средств, который группировка использовала и после взлома моста Harmony Horizon. Ранее Elliptic заявляла, что через Sinbad прошли десятки миллионов долларов, похищенных северокорейскими хакерами, которые явно демонстрируют доверие к этому сервису. Третьим и наиболее важным доказательством причастности Lazarus к атаке на Atomic Wallet является тот факт, что значительная часть украденной криптовалюты в итоге попала в кошельки, где хранятся доходы от предыдущих взломов Lazarus и которые предположительно принадлежат участникам группировки.^[19]

См. также

• Пак Чин Хёк

Примечания

1. https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group
2. Volz. U.S. Targets North Korean Hacking as National-Security Threat  (неопр.). MSN (16 сентября 2019). Дата обращения: 21 июня 2021. Архивировано 3 августа 2020 года.
3. Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats (амер. англ.). Microsoft on the Issues (19 декабря 2017). Дата обращения: 16 августа 2019. Архивировано 29 июля 2019 года.
4. FBI thwarts Lazarus-linked North Korean surveillance malware (англ.). IT PRO. Дата обращения: 16 августа 2019.
5. Guerrero-Saade, Juan Andres (2018-01-16). "North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign". Recorded Future. Архивировано 16 января 2018.
6. Who is Lazarus? North Korea's Newest Cybercrime Collective  (неопр.). www.cyberpolicy.com. Дата обращения: 26 августа 2020. Архивировано 24 сентября 2020 года.
7. Beedham. North Korean hacker group Lazarus is using Telegram to steal cryptocurrency (амер. англ.). Hard Fork | The Next Web (9 января 2020). Дата обращения: 26 августа 2020. Архивировано 8 сентября 2020 года.
8. PARK JIN HYOK (амер. англ.). Federal Bureau of Investigation. Дата обращения: 26 августа 2020. Архивировано 16 сентября 2020 года.
9. Schram, Jamie (2016-03-22). "Congresswoman wants probe of 'brazen' $81M theft from New York Fed". New York Post. Архивировано 3 июля 2020. Дата обращения: 21 июня 2021.
10. "Cybercriminal Lazarus group hacked Bangladesh Bank". thedailystar.net. 2017-04-20. Архивировано 14 мая 2021. Дата обращения: 13 мая 2021.
11. "US charges North Korean over Bangladesh Bank hack". finextra.com. 2018-09-06. Архивировано 14 мая 2021. Дата обращения: 13 мая 2021.
12. Мария Нефёдова. Правоохранители вернули 30 млн долларов, украденные в ходе взлома NFT-игры Axie Infinity  (рус.). Xakep.ru (9 сентября 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
13. Мария Нефёдова. Власти США предлагают 5 млн долларов за информацию о северокорейских хакерах  (рус.). Xakep.ru (18 апреля 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
14. North Korea Designation Update (англ.). Министерство финансов США (14 апреля 2022). Дата обращения: 14 декабря 2022. Архивировано 9 декабря 2022 года.
15. Carly Page. North Korean Lazarus hackers linked to $100M Harmony bridge theft (англ.). Techcrunch (30 июня 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
16. Мария Нефёдова. Власти США наложили санкции на криптовалютный миксер-сервис Blender  (рус.). Xakep.ru (11 мая 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
17. Мария Нефёдова. Американские власти наложили санкции на криптовалютный миксер Tornado Cash  (рус.). Xakep.ru (9 августа 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
18. Мария Нефёдова. Северокорейская группа Lazarus нацелилась на энергетические компании  (рус.). Xakep.ru (9 сентября 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
19. За взломом кошельков Atomic Wallet стоит северокорейская группировка Lazarus  (рус.). Дата обращения: 10 июня 2023.