Lazarus Group

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Lazarus Group
Локация
Тип организации хакерство, постоянная серьёзная угроза
Официальный язык корейский
Основатели Reconnaissance General Bureau[вд]
Основание
Дата основания около 2009[1]
Материнская организация Reconnaissance General Bureau
Корейский компьютерный центр

Lazarus Group (также известная как Guardians of Peace или Whois Team) — группа киберпреступников. Специалисты по киберпреступности приписывают группе множество кибератак и относят ее к типу «постоянная серьезная угроза». Специалисты по кибербезопасности используют для обозначения группы такие названия, как HIDDEN COBRA (Разведывательное сообщество США)[2] и Zinc (Microsoft)[3][4][5].

Lazarus Group известна своими связями с Северной Кореей[6][7][8].

Известные атаки

[править | править код]

Киберограбление банка Бангладеш

[править | править код]

Крупнейшее киберограбление произошло в 2016 году. Хакеры сделали тридцать пять фальшивых запросов через сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Центральному банку Бангладеш. По пяти из тридцати пяти запросов был успешно переведен 101 миллион долларов США, из которых 20 миллионов долларов были отправлены в Шри-Ланку и 81 миллион долларов США — на Филиппины. Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильным написанием инструкции[9]. Эксперты по кибербезопасности заявили, что за атакой стояла базирующаяся в Северной Корее Lazarus Group[10] [11].

В марте 2022 года хакеры похитили 620 миллионов долларов (173 600 ETH и 25,5 млн USDC) у NFT-игры Axie Infinity, успешно атаковав кроссчейн-мост Ronin. Расследование ФБР связало атаку с Lazarus Group и северокорейской APT38. Вслед за этим Госдеп США назначил вознаграждение в 5 млн долларов за информацию о хакерских операциях Северной Кореи. 14 апреля 2022 года Управление по контролю за иностранными активами Минфина США включило Lazarus Group в список SDN[12][13][14].

В июне Lazarus похитили около 100 млн долларов в различных криптовалютах у блокчейн-проекта Harmony, взломав кроссчейн-мост Horizon[15].

Lazarus отмывали похищенные у Axie Infinity и Harmony средства через миксер-сервисы. Через Blender.io[англ.] они пытались провести криптовалюту Axie Infinity на 20,5 млн долларов. За это власти США в мае 2022 наложили санкции на Blender[16]. Через «миксер» Tornado Cash Lazarus пытались вывести 455 млн долларов, похищенных у Axie Infinity, и порядка 96 млн долларов криптоактивов Harmony. В августе минфин США ввёл санкции и против Tornado Cash[17]. Блокировка «миксеров» сильно осложнила для Lazarus вывод средств. Аналитики Chainalysis[англ.] отмечали, что к осени 2022 года большая часть украденных у Axie Infinity средств по-прежнему лежала неизрасходованной в криптовалютных кошельках хакеров[12].

На протяжении 2022 года, по данным аналитиков Cisco Talos[англ.], Symantec и AhnLab[кор.], Lazarus систематически атаковали поставщиков энергии по всему миру, в том числе в США, Канаде и Японии. Их целью было получение долгосрочного доступа к закрытым сетям и последующая кража данных[18]

В июне 2023 года группировка похитила не менее 35 млн $ у пользователей криптокошелька Atomic Wallet. Из всей суммы 17 млн $ украли только всего с 5 адресов. Есть жертва, которая потеряла 7,95 млн USDT. В отчете компании рассказывается, что первой уликой, указывающей на Lazarus, является стратегия отмывания украденных активов, которая полностью соответствует схемам, которые исследователи наблюдали ранее. Вторая улика — использование криптовалютного миксера Sinbad для отмывания украденных средств, который группировка использовала и после взлома моста Harmony Horizon. Ранее Elliptic заявляла, что через Sinbad прошли десятки миллионов долларов, похищенных северокорейскими хакерами, которые явно демонстрируют доверие к этому сервису. Третьим и наиболее важным доказательством причастности Lazarus к атаке на Atomic Wallet является тот факт, что значительная часть украденной криптовалюты в итоге попала в кошельки, где хранятся доходы от предыдущих взломов Lazarus и которые предположительно принадлежат участникам группировки.[19]

Примечания

[править | править код]
  1. https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group
  2. Volz. U.S. Targets North Korean Hacking as National-Security Threat. MSN (16 сентября 2019). Дата обращения: 21 июня 2021. Архивировано 3 августа 2020 года.
  3. Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats (амер. англ.). Microsoft on the Issues (19 декабря 2017). Дата обращения: 16 августа 2019. Архивировано 29 июля 2019 года.
  4. FBI thwarts Lazarus-linked North Korean surveillance malware (англ.). IT PRO. Дата обращения: 16 августа 2019.
  5. Guerrero-Saade, Juan Andres (2018-01-16). "North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign". Recorded Future. Архивировано 16 января 2018.
  6. Who is Lazarus? North Korea's Newest Cybercrime Collective. www.cyberpolicy.com. Дата обращения: 26 августа 2020. Архивировано 24 сентября 2020 года.
  7. Beedham. North Korean hacker group Lazarus is using Telegram to steal cryptocurrency (амер. англ.). Hard Fork | The Next Web (9 января 2020). Дата обращения: 26 августа 2020. Архивировано 8 сентября 2020 года.
  8. PARK JIN HYOK (амер. англ.). Federal Bureau of Investigation. Дата обращения: 26 августа 2020. Архивировано 16 сентября 2020 года.
  9. Schram, Jamie (2016-03-22). "Congresswoman wants probe of 'brazen' $81M theft from New York Fed". New York Post. Архивировано 3 июля 2020. Дата обращения: 21 июня 2021.
  10. "Cybercriminal Lazarus group hacked Bangladesh Bank". thedailystar.net. 2017-04-20. Архивировано 14 мая 2021. Дата обращения: 13 мая 2021.
  11. "US charges North Korean over Bangladesh Bank hack". finextra.com. 2018-09-06. Архивировано 14 мая 2021. Дата обращения: 13 мая 2021.
  12. 1 2 Мария Нефёдова. Правоохранители вернули 30 млн долларов, украденные в ходе взлома NFT-игры Axie Infinity. Xakep.ru (9 сентября 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  13. Мария Нефёдова. Власти США предлагают 5 млн долларов за информацию о северокорейских хакерах. Xakep.ru (18 апреля 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  14. North Korea Designation Update (англ.). Министерство финансов США (14 апреля 2022). Дата обращения: 14 декабря 2022. Архивировано 9 декабря 2022 года.
  15. Carly Page. North Korean Lazarus hackers linked to $100M Harmony bridge theft (англ.). Techcrunch (30 июня 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  16. Мария Нефёдова. Власти США наложили санкции на криптовалютный миксер-сервис Blender. Xakep.ru (11 мая 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  17. Мария Нефёдова. Американские власти наложили санкции на криптовалютный миксер Tornado Cash. Xakep.ru (9 августа 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  18. Мария Нефёдова. Северокорейская группа Lazarus нацелилась на энергетические компании. Xakep.ru (9 сентября 2022). Дата обращения: 14 декабря 2022. Архивировано 14 декабря 2022 года.
  19. За взломом кошельков Atomic Wallet стоит северокорейская группировка Lazarus. Дата обращения: 10 июня 2023.