vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
21 февраля 2025 года, в самую обычную пятницу, тихо и незаметно, произошло крупнейшее ограбление в истории человечества. Выглядело оно под стать времени: неизвестные взломали криптобиржу Bybit и вывели 401 тысячу ETH — эквивалент $1,4 миллиарда. Эксперты уверены, что за преступлением стоят Lazarus — северокорейская группировка, которая уже 16 лет наводит страх на весь мир, и о которой до сих пор толком ничего не известно. Рассказываем историю их деяний.
Среди пользователей взломанной криптобиржи началась настоящая паника: уже в первые 10 часов с момента сообщения о взломе Bybit получила больше 350 тысяч заявок на вывод средств. Последствия от удара по репутации оказались в несколько раз сильнее издержек от самого преступления: уже через три дня, 24 февраля, общие потери средств для Bybit в $5,5 миллиардов.
Произошедшее стало и для ИБ-специалистов, которые не ожидали такой техничности и быстроты от северокорейских хакеров (хотя подобное можно было предположить, учитывая все их перформансы в прошлом, о которых расскажем дальше).
Основатель Bybit Бен Чжоу Lazarus настоящую войну, назначив награду в $140 миллионов тем, кто сумеет отследить украденные у биржи средства и способствовать их заморозке (награда делится 50/50 между обнаружившим и заморозившим субъектами).
К разбирательству подключилось также ФБР, организации и частных лиц, связанных с криптоиндустрией, отслеживать подозрительные транзакции, потенциально связанные с ограблением Bybit.
Особого результата пока все это не принесло: по состоянию на 4 марта 20% украденных северокорейскими хакерами средств уже были выведены и безвозвратно растворились.
Через несколько дней после инцидента, 27 февраля, об еще одном подозрительном выводе большого объема средств с Bybit в размере эквивалентном $650 миллионам, но связь этой транзакции с Lazarus не была подтверждена и не получила официальных комментариев.
Точный таймлайн крупнейшего ограбления в истории и технические детали можно прочесть . А мы расскажем о том, кто же такие Lazarus, и почему на протяжении уже 16 (!) лет им сходят с рук самые невероятные киберпреступления.
Имя им — легион
У Lazarus много имен, ни одно из которых не является официальным. Группировка известна также под названиями Hidden Cobra (термин ЦРУ), Zinc или Diamond Sleet (отчеты Microsoft), TraderTraitor (ФБР), Guardians of Peace, APT 38, Bureau 121, Whois Team, и другими. Неизвестны ни точная численность хакерского сообщества, ни то, одна эта группа или несколько, ни идентичности участников Lazarus. За все эти годы было названо единственное имя, предположительно связанное с группировкой — некий Пак Чин Хёк, которого в 2018 году ФБР официально в связи с хакерской атакой Lazarus на кинокомпанию Sony (2014), созданием вируса WannaCry (2017) и другими киберинцидентами.На самом деле подлинная степень причастности Пак Чин Хёка к этим преступлениям неизвестна, как неизвестно его место в иерархии Lazarus — как и тот факт, существует ли этот человек вообще (по крайней мере, в Пхеньяне это отрицают).
Отдельно КНДР выразила возмущение тем, что объявление Пака в розыск стало формальным поводом ввести санкции против компании Chosun Expo Joint Venture (она же Korea Expo Joint Venture Company), производителя софта, имеющего офис в Китае. Впрочем, этот «производитель софта» успел в свое время побыть и инфраструктурой для онлайн-казино и маркетплейсом по продаже товаров народного потребления.
Большинство исследователей уверены, что на самом деле Chosun Expo Joint Venture — просто ширма для организации, известной под (еще одним!) кодовым названием Lab 110, попросту говоря, засекреченному киберподразделению армии Северной Кореи. Группировка Lazarus, судя по всему, является элитным отделом внутри Lab 110, возможно также, что это просто условное собирательное название для группировок разных людей, которые совершают кибератаки в рамках организации.
Вообще ужасно интересно, как весь этот процесс у них там организован, но так как никакой детальной информации нет, остается только гадать. Очевидно, в Северной Корее такая работа как у членов Lazarus должна считаться чем-то крайне элитным (сидят в тепле за монитором и крадут миллиарды, пока простые граждане голодают и дрожат каждый день под портретом вождя Ким Чен Ына). Оплачивается ли она соответствующе? Позволяют ли в партии хакерам оставлять себе какой-то процент от награбленного? Но какой смысл в деньгах в Северной Корее, где особо ничего не купишь. Может быть, «лазарей» премируют какими-то буржуазными благами (двухнедельной туристической поездкой в Южную Корею под фальшивыми именами? Взломанной приставкой PlayStation 5? Блэкджеком и дамами? Фантазия тут отказывает).
Деньги, которые «зарабатывают» северокорейские хакеры — очень большие, и были такими уже много лет, до того, как авантюра с Bybit обошла новостные заголовки всей планеты. Для понимания масштабов вот из официального отчета 2020 года Комитета Совета Безопасности ООН по санкциям в отношении Северной Кореи:
Ким Чен Ын
Трудно точно определить, какой процент от общего бюджета Северной Кореи составляет «добыча» от действий Lazarus — одну восьмую, одну десятую, больше? Будучи самым закрытым государством мира, еще с начала 1960-х годов КНДР не публикует никакой экономической статистики.
Впрочем, по анализу косвенных факторов КНДР относят к числу беднейших стран мира (213-е место из 230), так что «бесплатные» миллиарды долларов в казну в любом случае являются очень значимым источником дохода для режима Кимов.
Список «подвигов» Lazarus
Самые ранние атаки, которые можно с относительной уверенностью связать с группировкой из КНДР, относятся к 2009-2011 году — тогда будущие короли хакинга занимались только DDoS-атаками, причем не слишком изобретательными. Очевидно, были сделаны выводы и проведено обучение, потому что следующие операции группы демонстрируют уже совершенно другой уровень компетенций.Настоящую известность Lazarus приобрели в 2014-2017 годах, когда совершили несколько крупных операций:
24 ноября 2014 года Lazarus взломали компанию Sony Pictures Entertainment. Были похищены личные данные сотрудников и членов их семей, содержимое внутренней электронной почты, информация о заработной плате, копии неизданных фильмов Sony и другая важная информация. Предположительно взлом был показательной акцией устрашения на фоне анонса комедии Эвана Голдберга и Сета Рогена «Интервью», по сюжету которой герой совершает попытку покушения на Ким Чен Ына.
Ким Чен Ын в исполнении Рэндалла Пака в фильме «Интервью» (2014)
4-5 февраля 2016 года Lazarus сделали тридцать пять фальшивых запросов через сеть SWIFT для перевода $1 миллиарда со счета Федерального резервного банка Нью-Йорка, принадлежащего Центральному банку Бангладеш (банк был закрыт в это время на выходные). Прежде чем власти спохватились, хакеры успели вывести пять из из тридцати пяти транзакций на общую сумму $101 миллион, которые быстро растворились на Шри-Ланке и Филиппинах.
12 мая 2017 года по миру прокатилась эпидемия вируса-шифровальщика WannaCry, который заразил 500 тысяч компьютеров в 150 странах. В ряде случаев зловред парализовал работу банков, больниц и правительственных организаций, убытки превысили $1 млрд. Уже 16 мая представители Лаборатории Касперского и Symantec , что анализ кода вируса доказал его крайнее сходство со зловредами, использовавшимися при атаке на Sony и Центральный банк Бангладеш.
Компьютер, зараженный WannaCry
Тогда же широкая публика впервые узнала детали об аффилированности Lazarus с правительством КНДР: BBC по случаю вспомнили свое 2015 года с перебежчиков из Северной Кореи, профессором информатики Ким Хен Кваном, который рассказывал о некоем Подразделении 121, в которое «входят 6000 военных хакеров, набираемых из числа студентов Политеха в Пхеньяне». Как и в случае со всей остальной информацией из Северной Кореи, неясно, насколько этим сведениям можно доверять — но Lazarus определенно существуют, и их активность поражает масштабами.
В августе 2017 года, по следам WannaCry и возобновившихся в КНДР ядерных испытаний, ООН приняла «Резолюцию 2371», вводящую жесткие санкции и по сути полностью блокирующие экспорт продукции Северной Кореи. В ответ на это Lazarus удесятерили свою активность и сделали своим приоритетом добывание криптовалюты — ведь в значительной степени теперь на плечах хакеров лежало благополучие экономики родной страны.
Дальше пунктиром, потому что инцидентов, связанных с Lazarus, с этого момента было слишком много, чтобы каждый из них разбирать в деталях.
2017
В октябре Lazarus похитили 60 млн долларов из банка Тайваня и развернули масштабную мошенническую, нацеленную на руководителей криптовалютных организаций. Угроза была признана серьезной: Белый Дом сообщал, что мегакорпорации Facebook и Microsoft объединились для борьбы с Lazarus, в том числе запустили кампанию по созданию поддельных аккаунтов для установления контакта с потенциальными злоумышленниками.
2018
В январе финская компания F-Secure публикует статистику по кибератакам с целью вымогательства (ransomware) за 2017 год. Число таких атак возросло на 400%, из них 90% пришлись на созданный северокорейцами WannaCry.
В этом же году Lazarus взламывают южнокорейскую криптобиржу Bithumb и пытаются заразить через электронную почту устройства участников саммита G20.
Власти сообщают, что Lazarus разжились новым куда более мощным шифровальщиком Ryuk, на основе зловреда Hermes, с помощью которого в 2017-м ограбили банк Тайваня. У Ryuk есть список из 40 служебных процессов и 180 приложений, которые шифровальщик отключает перед началом работы, например антивирусные службы и системы резервного копирования.
Дополнительно Lazarus запускают кампанию по атаке устройств на macOS через специальное поддельное приложение для обмена криптовалют.
Всего за 2018 год Lazarus похищают в результате 14 успешных операций порядка $500 миллионов в криптовалюте. Не последнюю роль здесь играет успешная кампания, нацеленная на Латинскую Америку.
Скриншот из об атаках Lazarus на Латинскую Америку.
McAfee сообщает о новой мощной кибероперации, направленной на оборонную, ядерную и финансовую инфраструктуры, а также сферу телекоммуникаций и высоких технологий по всему миру. Злоумышленники, выступающие под псевдонимом Sharpshooter, атакуют 87 организаций в 24 странах в Южной Америке, Европе, на Ближнем Востоке, в Индии, Австралии и Японии. Впоследствии эксперты , что это снова дело рук Lazarus.
2019
В этом году Lazarus впервые пробуют фишку, которую впоследствии в 2025-м: они создают фальшивые вакансии на LinkedIn и убеждают соискателей, которые работают в нужных им организациях, выполнить тестовое задание, в котором содержится вредонос.
Минюст США запускает многомесячную операцию по ликвидации принадлежащего Lazarus ботнета Joanap. В рамках этого дела сотрудники ФБР и отдела специальных расследований ВВС США присоединились к ботсети, используя серверы, имитирующие зараженные устройства.
В феврале 2019 года Lazarus (под еще одним псевдонимом Bluenoroff) впервые целенаправленно . Деталей инцидента нет, предположительно пострадали неназванные финансовые организации.
Параллельно, по данным «Лаборатории Касперского», многорукие северокорейцы продолжают грабить азиатские криптовалютные сервисы, выгребая из них сотни миллионов долларов.
Весной 2019 года становится известно, что Lazarus серьезно обновляют свой арсенал кибероружия, вероятно, готовясь к чему-то масштабному. Кибернетическое командование США загружает в сервис VirusTotal 11 новых образцов вредоносного ПО, предположительно связанного с группировкой.
Руководство атомной электростанции Куданкулам (самой мощной АЭС в Индии) официально опровергает информацию о том, что станция стала целью кибератак Lazarus, которая якобы заразила сеть АЭС вредоносом DTrack. Ранее банки 15 индийских штатов были поражены этим же вирусом. Детали дела неизвестны.
В декабре Lazarus заключают сделку с операторами вредоноса TrickBot и начинают использовать его инфраструктуру для атак, а также впервые применяют несколько новых троянов из списка для атак на системы Linux.
2020
Telegram переживает новый всплеск популярности на фоне COVID, Lazarus начинают использовать мессенджер для кражи персональных данных и криптовалюты. Продолжается кампания в LinkedIn и похожих сервисах: в этот раз целью северокорейцев являются сотрудники оборонных ведомств.
Спецслужбы сливают информацию, что на 21 июня 2020 года Lazarus планируют масштабную фишинговую операцию на тему COVID: в течение двух дней 5 млн компаний и частных лиц в шести странах (где объявлена программа бюджетной помощи бизнесу) должны получить письма из поддельных правительственных учетных записей. Операция срывается, но Lazarus не унывают.
О еще одной параллельной кампании Lazarus сообщают ИБ-специалисты компании Sansec: она нацелена на кражу данных платежных карт крупных ритейлеров в США и Европе. Список жертв злоумышленников насчитывает десятки магазинов, включая такие крупные компании, как Claire’s, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armour, Microbattery и Realchems. Точные цифры ущерба остались неизвестны.
2021
Продолжается масштабная кампания от лица фальшивых HR, с использованием Twitter, GitHub и LinkedIn. Под удар попали сотрудники Google и Microsoft
2022
В марте 2022 года Lazarus похитили 620 миллионов долларов (173 600 ETH и 25,5 млн USDC) у NFT-игры Axie Infinity, успешно атаковав кроссчейн-мост Ronin.
Госдеп США назначает вознаграждение в $5 миллионов за информацию о хакерах, а Управление по контролю за иностранными активами Минфина США включает Lazarus Group в SDN List (примерный аналог списка экстремистов и террористов Минюста РФ).
В июне Lazarus похищают около $100 млн в различных криптовалютах у блокчейн-проекта Harmony, взломав кроссчейн-мост Horizon.
Также на протяжении всего 2022 года, по данным аналитиков Cisco Talos, Symantec и AhnLab, Lazarus систематически атакуют поставщиков энергии по всему миру, в том числе в США, Канаде и Японии.
2023
В июне 2023 года Lazarus похищают не менее $35 млн (по другим данным — около $100 млн) у пользователей криптокошелька Atomic Wallet.
В сентябре они успешно взламывают онлайн-казино и выводят $41 миллион.
2024
Весь 2024-й Lazarus сидели непривычно тихо и практически не появлялись в новостях (теперь-то мы знаем, что они готовились к крупнейшему ограблению в истории).
Дали знать о себе они только в декабре, когда вынесли $308 миллионов с японской криптобиржи DMM и были в продолжении фишинговой HR-кампании, в этот раз нацеленной на сотрудников ядерной отрасли.
Откуда такой уровень знаний
Очевидный вопрос, который возникал и возникает у многих (в том числе и ): как они это делают? Откуда у абсолютно изолированной страны, в которой вообще нет открытого интернета, такие технологии и такие кадры?Первое упоминание о программе обучения кибервойск Северной Кореи, по-видимому, относится к 2004 году, когда южнокорейский генерал-майор Сон Ён Гюн «сообщил на одной из пресс-конференций о том, что северные соседи ежегодно обучают сотни профессиональных хакеров, которые могут атаковать инфраструктуру Южной Кореи с целью похитить ценную секретную информацию». Тогда эту новость не восприняли всерьез, отнеся ее к разряду привычной уже дезинформации Южной Кореи наподобие того, что Кимы «расстреливают провинившихся членов партии из минометов» или «отдают на растерзание диким животным».
Следующая новость поступила только через десять лет (2015), это уже цитировавшиеся выше откровения бежавшего из Северной Кореи профессора про многотысячную киберармию из тысяч хакеров. Учитывая масштаб операций Lazarus это, пожалуй, уже больше похоже на правду, хотя беглец покинул КНДР еще в 2003 году, до того, как программа фактически начала работать.
Как проходит обучение юных хакеров? Вариантов не так много, и откровения разведчиков подтверждают то, что приходит на ум в первую очередь:
Присматриваться к детям начинают уже . Самых успешных школьников партия курирует далее, когда они поступают в вузы по «цифровому» направлению: такое образование в КНДР дают Технологический университет Ким Чаека и несколько факультетов Государственного Университета Ким Ир Сена, а также такие загадочные заведения как и .
По , еще один центр подготовки будущих хакеров расположен в обстановке секретности в китайском городе Шэньян, под прикрытием ресторанов, отелей и других бизнесов. Почему в качестве базы используется именно Шэньян, сначала неочевидно, в этом 9-миллионном городе есть высокого уровня, но ни один из них не специализируется на компьютерных технологиях. Вероятнее всего, дело в банальной географии — Шэньян это ближайший к границе Северной Кореи мегаполис, и его сетевую инфраструктуру удобно использовать для собственных операций.
Официально власти Китая всегда отрицали, что они имеют какое-то отношение к нелегальным северокорейским активностям на своей территории. Вместе с тем, стоит понимать историческую специфику этих дальневосточных отношений: Китай воевал на стороне КНДР во время Корейской войны, а сегодня КНР является крупнейшим торговым партнером закрытого государства, обеспечивая около половины всего северокорейского импорта и четверти всего экспорта.
Идеальная схема
Если посмотреть на Lazarus комплексно как на явление, получается очень интересная картина. Так как они по сути являются госслужащими в закрытом государстве, то никаких препятствий для их деятельности или предпосылок для ее остановки нет и не может возникнуть (пока существует само государство Северная Корея).В своей деятельности за последние годы Lazarus нашли практически идеальную формулу. Они крадут огромные по меркам КНДР деньги, которые тратят в значительной степени на себя же — на обучение новых кадров, на закупку серверов и хостингов, на приобретение новых хакерских инструментов для того, чтобы добывать еще больше денег.
Перед нами практически вечный двигатель идеального преступления, пиратская республика вроде легендарной — правда, вместо утопической разбойничьей демократии здесь заправляет чучхе-сонгунский тоталитаризм, вот такая получается разница между фантазией и реальностью.
Интересный факт напоследок: в 2022 году вышла 300-страничная , в которой, вероятно, содержится больше деталей о группировке, и которую мы надеемся однажды прочесть.
