Производитель продуктов для предотвращения киберугроз Group-IB представила доказательства того, что группировка Lazarus имеет северокорейское происхождение. Хакеры занимаются кражей средств из банков. Однако, известность группировка получила после взлома Sony Pictures Entertainment в 2014 перед выходом комедии «Интервью», высмеивающий северокорейский режим и его лидера.
Lazarus пытались маскировать атаки под действия российских хакеров. Для этого они добавляли отладочные символы и прописывали русские слова на латинице в код вредоносной программы. Кроме того, группа использовала инструменты, разработанные русскоязычными киберпреступниками. Тем не менее, Group IB удалось установить, что на протяжении нескольких лет атаки велись из одного места – района Potonggang в Пхеньяне, говорится в пресс-релизе компании.
Долгое время Lazarus занималась шпионажем в системах государственных, военных, аэрокосмических учреждений в Южной Корее и США и DDoS-атаками на них. В последние же годы Lazarus переключились на финансовые организации.
В 2016 году группа попыталась похитить почти $1 млрд из центрального банка Бангладеш посредством атаки систему межбанковских переводов SWIFT. Ограбления не произошло благодаря ошибке в платежном документе. Хакерам удалось вывести только $81 млн. В 2017 мошенники атаковали банки в 30 странах со всего мира, включая Европейский центральный банк, ЦБ России, Бразилии, Венесуэлы и Польши. Исследователи Symantec также упоминали о связи Lazarus с WannaCry.
Lazarus смогли провести несколько успешных атак без zero-day эксплоитов. Для маскировки хакеры выстроили трехуровневую инфраструктуру С&C-серверов с шифрованным SSL-каналом связи. В качестве дополнительного способа анонимизации использовался легитимный сервиса SoftEther VPN, который никак не детектируется средствами защиты.
«Бытует мнение, что проправительственные хакеры занимаются только шпионажем и политически мотивированными атаками. На примере Lazarus мы видим, что продвинутые технологии позволяют им выбирать самые защищенные цели, например, успешно атаковать банки и финансовые институты – и они активно интересуются такими возможностями», – Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, со-основатель Group-IB.