Группа Лазарус

Киберпреступная организация

Группа Lazarus (также известная как Guardians of Peace или Whois Team ^{[1] [2] [3]} ) — хакерская группа, состоящая из неизвестного числа лиц, предположительно управляемая правительством Северной Кореи . Хотя о группе Lazarus известно немного, исследователи приписывают ей множество кибератак с 2010 года. Первоначально преступная группа, теперь группа обозначена как постоянная угроза повышенной сложности из-за преднамеренного характера, угрозы и широкого спектра методов, используемых при проведении операции. Названия, данные организациями по кибербезопасности, включают Hidden Cobra (используется Министерством внутренней безопасности США для обозначения вредоносной киберактивности северокорейского правительства в целом) ^{[4] [5]} и ZINC или Diamond Sleet ^[6] (от Microsoft ). ^{[7] [8] [9]} По словам северокорейского перебежчика Ким Кук Сона, подразделение внутри Северной Кореи известно как 414 Liaison Office. ^[10]

Группа Lazarus имеет тесные связи с Северной Кореей . ^{[11] [12]} Министерство юстиции США заявило, что группа является частью стратегии правительства Северной Кореи по «подрыву глобальной кибербезопасности... и получению незаконных доходов в нарушение... санкций». ^[13] Северная Корея получает выгоду от проведения киберопераций, поскольку она может представлять асимметричную угрозу с небольшой группой операторов, особенно для Южной Кореи. ^[14]

История

Самая ранняя известная атака, за которую отвечает группа, известна как «Операция Троя», которая проводилась с 2009 по 2012 год. Это была кампания кибершпионажа, в которой использовались простые методы распределенной атаки типа «отказ в обслуживании » (DDoS) для атаки на правительство Южной Кореи в Сеуле. Они также были ответственны за атаки в 2011 и 2013 годах. Возможно, что они также стояли за атакой 2007 года, нацеленной на Южную Корею, но это все еще неясно. ^[15] Известной атакой, которой известна группа, является атака 2014 года на Sony Pictures . Атака на Sony использовала более сложные методы и продемонстрировала, насколько продвинутой стала группа с течением времени.

ФБР разыскивает одного из хакеров Lazarus Group, Пак Джин Хёка

Сообщалось, что в 2015 году группа Lazarus украла 12 миллионов долларов США из Banco del Austro в Эквадоре и 1 миллион долларов США из вьетнамского Tien Phong Bank . ^[16] Они также атаковали банки в Польше и Мексике. ^[17] Ограбление банка в 2016 году [ ^18] включало атаку на Bangladesh Bank , в ходе которой было успешно украдено 81 миллион долларов США, и было приписано группе. В 2017 году сообщалось, что группа Lazarus украла 60 миллионов долларов США из Far Eastern International Bank of Taiwan, хотя фактическая сумма похищенного неизвестна, и большая часть средств была возвращена. ^[17]

Неясно, кто на самом деле стоит за группой, но сообщения СМИ предполагают, что группа связана с Северной Кореей . ^{[19] [20] [17] В 2017 году} «Лаборатория Касперского» сообщила, что Lazarus, как правило, концентрировалась на шпионаже и инфильтрационных кибератаках, тогда как подгруппа внутри их организации, которую Касперский назвал Bluenoroff, специализировалась на финансовых кибератаках. Касперский обнаружил несколько атак по всему миру и прямую связь ( IP-адрес ) между Bluenoroff и Северной Кореей. ^[21]

Однако Касперский также признал, что повторение кода может быть «ложным флагом», призванным ввести следователей в заблуждение и связать атаку с Северной Кореей, учитывая, что всемирная кибератака червя WannaCry также скопировала методы у АНБ. Эта программа-вымогатель использует эксплойт АНБ, известный как EternalBlue , который хакерская группа Shadow Brokers обнародовала в апреле 2017 года. ^[22] Symantec сообщила в 2017 году, что «весьма вероятно», что за атакой WannaCry стоит Lazarus. ^[23]

2009 Операция Троя

Первый крупный хакерский инцидент Lazarus Group произошел 4 июля 2009 года и положил начало «Операции Троя». В ходе этой атаки были использованы вредоносные программы Mydoom и Dozer для запуска масштабной, но довольно простой DDoS-атаки против веб-сайтов США и Южной Кореи. Серия атак поразила около трех десятков веб-сайтов и поместила текст «Memory of Independence Day» в главную загрузочную запись (MBR).

Кибератака в Южной Корее в 2013 году (Операция 1Mission/DarkSeoul)

Со временем атаки этой группы стали более изощренными; их методы и инструменты стали более развитыми и эффективными. Атака в марте 2011 года, известная как «Десять дней дождя», была нацелена на южнокорейские СМИ, финансовую и критическую инфраструктуру и состояла из более сложных DDoS-атак, которые исходили от взломанных компьютеров в Южной Корее. Атаки продолжились 20 марта 2013 года с DarkSeoul, атакой стирания, которая была нацелена на три южнокорейские вещательные компании, финансовые институты и интернет-провайдера. В то время две другие группы, известные под псевдонимами «NewRomanic Cyber ​​Army Team и WhoIs Team», взяли на себя ответственность за эту атаку, но исследователи не знали, что за ней стоит Lazarus Group. Сегодня исследователи знают Lazarus Group как супергруппу, стоящую за разрушительными атаками. ^[24]

Конец 2014 г.: взлом Sony

Атаки Lazarus Group достигли кульминации 24 ноября 2014 года. В тот день на Reddit появился пост о том, что Sony Pictures была взломана неизвестными способами; преступники назвали себя «Хранителями мира». Большие объемы данных были украдены и медленно просочились в течение нескольких дней после атаки. В интервью с кем-то, кто утверждал, что является членом группы, говорилось, что они перекачивали данные Sony более года. ^[25]

Хакеры смогли получить доступ к ранее не выпущенным фильмам, сценариям некоторых фильмов, планам будущих фильмов, информации о зарплатах руководителей компании, электронным письмам и личной информации около 4000 сотрудников. ^[26]

Расследование начала 2016 года: операция «Блокбастер»

Под названием «Operation Blockbuster» коалиция компаний по безопасности во главе с Novetta ^{[27] [28]} смогла проанализировать образцы вредоносного ПО, обнаруженные в различных инцидентах кибербезопасности. Используя эти данные, команда смогла проанализировать методы, используемые хакерами. Они связали Lazarus Group с рядом атак через схему повторного использования кода. ^[29]

Киберограбление банка Бангладеш в 2016 году

Киберограбление Bangladesh Bank — кража, произошедшая в феврале 2016 года. Тридцать пять мошеннических инструкций были отправлены хакерами через сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Bangladesh Bank, центральному банку Бангладеш. Пять из тридцати пяти мошеннических инструкций были успешными в переводе 101 миллиона долларов США, при этом 20 миллионов долларов США были отслежены в Шри-Ланке, а 81 миллион долларов США — на Филиппинах. Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильно написанной инструкцией. ^{[30] [31]} Эксперты по кибербезопасности заявили, что за атакой стояла базирующаяся в Северной Корее группа Lazarus. ^{[32] [33]}

Атака вируса-вымогателя WannaCry в мае 2017 г.

Атака WannaCry была масштабной кибератакой с использованием вируса-вымогателя, которая поразила учреждения по всему миру, начиная от NHS в Великобритании и заканчивая Boeing и даже университетами в Китае 12 мая 2017 года. Атака длилась 7 часов и 19 минут. По оценкам Европола , она затронула около 200 000 компьютеров в 150 странах, в первую очередь в России, Индии, Украине и Тайване. Это была одна из первых атак крипточервя . Крипточерви — это класс вредоносных программ, которые перемещаются между компьютерами с помощью сетей, не требуя прямого действия пользователя для заражения — в данном случае, используя порт TCP 445. [ ^34] Чтобы заразиться, нет необходимости нажимать на плохую ссылку — вредоносная программа может распространяться автономно, с компьютера на подключенный принтер, а затем на соседние компьютеры, возможно, подключенные к Wi-Fi и т. д. Уязвимость порта 445 позволяла вредоносной программе свободно перемещаться по интрасетям и быстро заражать тысячи компьютеров. Атака Wannacry была одним из первых крупномасштабных случаев использования крипточервя. ^{[35] [36]}

Атака

Вирус использовал уязвимость в операционной системе Windows, затем зашифровал данные компьютера в обмен на сумму в биткоинах стоимостью около 300 долларов за получение ключа. Чтобы побудить заплатить, требование выкупа удваивалось через три дня, и если вы не платили в течение недели, вредоносная программа удаляла зашифрованные файлы данных. Вредоносная программа использовала легитимную часть программного обеспечения под названием Windows Crypto, созданную Microsoft, для шифрования файлов. После завершения шифрования к имени файла добавлялось «Wincry», что является корнем имени Wannacry. Wincry был основой шифрования, но вредоносная программа использовала два дополнительных эксплойта, EternalBlue и DoublePulsar , чтобы сделать его крипточервем. EternalBlue автоматически распространяет вирус по сетям, в то время как DoublePulsar запускал его для активации на компьютере жертвы. Другими словами, EternalBlue получал зараженную ссылку на ваш компьютер, а DoublePulsar щелкал по ней для вас. ^[36]

Исследователь безопасности Маркус Хатчинс положил конец атаке, когда получил копию вируса от друга из компании по исследованию безопасности и обнаружил в вирусе жестко запрограммированную функцию аварийного отключения . Вредоносная программа включала периодическую проверку, чтобы узнать, зарегистрировано ли определенное доменное имя , и продолжала шифрование только в том случае, если это доменное имя не существовало. Хатчинс идентифицировал эту проверку, затем быстро зарегистрировал соответствующий домен в 15:03 UTC. Вредоносная программа немедленно прекратила распространяться и заражать новые машины. Это было очень интересно и является подсказкой о том, кто создал вирус. Обычно для остановки вредоносного ПО требуются месяцы борьбы между хакерами и экспертами по безопасности, поэтому эта легкая победа была неожиданной. Другим очень интересным и необычным аспектом атаки было то, что файлы не поддавались восстановлению после уплаты выкупа: было собрано всего 160 000 долларов, что заставило многих поверить, что хакеры не гнались за деньгами. ^[36]

Легкое отключение и отсутствие доходов заставили многих поверить, что атака была спонсирована государством; мотивом была не финансовая компенсация, а просто желание посеять хаос. После атаки эксперты по безопасности отследили эксплойт DoublePulsar до АНБ США , где эксплойт был разработан как кибероружие . Затем эксплойт был украден хакерской группой Shadow Brokers, которая сначала попыталась продать его на аукционе, но после неудачи просто отдала его бесплатно. ^[36] Впоследствии АНБ раскрыло уязвимость Microsoft, которая выпустила обновление 14 марта 2017 года, чуть меньше чем за месяц до атаки. Этого было недостаточно. Обновление не было обязательным, и большинство компьютеров с уязвимостью не устранили проблему к моменту 12 мая, что привело к поразительной эффективности атаки.

Последствия

Министерство юстиции США и власти Великобритании позже приписали атаку WannaCry северокорейской хакерской группировке Lazarus. ^[13]

Криптовалютные атаки 2017 года

В 2018 году Recorded Future опубликовала отчет, связывающий Lazarus Group с атаками на пользователей криптовалюты Bitcoin и Monero , в основном в Южной Корее. ^[37] Сообщалось, что эти атаки технически похожи на предыдущие атаки с использованием вируса-вымогателя WannaCry и атаки на Sony Pictures. ^[38] Одной из тактик, используемых хакерами Lazarus, было использование уязвимостей в Hancom 's Hangul , южнокорейском программном обеспечении для обработки текста. ^[38] Другая тактика заключалась в использовании фишинговых приманок, содержащих вредоносное ПО, которые отправлялись южнокорейским студентам и пользователям криптовалютных бирж, таких как Coinlink. Если пользователь открывал вредоносное ПО, оно крал адреса электронной почты и пароли. ^[39] Coinlink отрицал, что их сайт или адреса электронной почты и пароли пользователей были взломаны. ^[39] В отчете сделан вывод о том, что «Эта кампания конца 2017 года является продолжением интереса Северной Кореи к криптовалюте, которая, как мы теперь знаем, охватывает широкий спектр деятельности, включая майнинг, программы-вымогатели и прямое воровство...» ^[37] В отчете также говорится, что Северная Корея использовала эти атаки на криптовалюту, чтобы избежать международных финансовых санкций. ^[40]

Северокорейские хакеры украли 7 миллионов долларов США из Bithumb , южнокорейской биржи в феврале 2017 года. ^[41] Youbit, еще одна южнокорейская компания по обмену биткоинов, подала заявление о банкротстве в декабре 2017 года после того, как 17% ее активов были украдены кибератаками после более ранней атаки в апреле 2017 года . ^[42] В атаках обвинили Lazarus и северокорейских хакеров. ^{[43] [37]} Nicehash , торговая площадка для облачного майнинга криптовалют, потеряла более 4500 биткоинов в декабре 2017 года. В обновлении о расследованиях утверждалось, что атака связана с Lazarus Group. ^[44]

Сентябрьские атаки 2019 г.

В середине сентября 2019 года США опубликовали публичное оповещение о новой версии вредоносного ПО под названием ElectricFish. ^[45] С начала 2019 года северокорейские агенты предприняли пять крупных киберкраж по всему миру, включая успешную кражу 49 миллионов долларов из учреждения в Кувейте . ^[45]

Атаки на фармацевтические компании в конце 2020 года

Из-за продолжающейся пандемии COVID-19 фармацевтические компании стали основными целями для Lazarus Group. Используя методы целевого фишинга, члены Lazarus Group выдавали себя за должностных лиц здравоохранения и связывались с сотрудниками фармацевтических компаний с помощью вредоносных ссылок. Считается, что целью было несколько крупных фармацевтических организаций, но единственной подтвержденной организацией была англо-шведская AstraZeneca . Согласно отчету Reuters, ^[46] целью был широкий круг сотрудников, в том числе многие из тех, кто участвовал в исследовании вакцины от COVID-19. Неизвестно, какова была цель Lazarus Group в этих атаках, но вероятные возможности включают в себя:

• Кража конфиденциальной информации с целью продажи с целью получения прибыли.
• Схемы вымогательства.
• Предоставление иностранным режимам доступа к собственным исследованиям COVID-19.

AstraZeneca пока не прокомментировала инцидент, и эксперты не считают, что какие-либо конфиденциальные данные были скомпрометированы. ^{[ по состоянию на? ]}

Атаки в январе 2021 года, направленные на исследователей кибербезопасности

В январе 2021 года Google и Microsoft публично сообщили о группе северокорейских хакеров, атакующих исследователей кибербезопасности с помощью кампании социальной инженерии , при этом Microsoft конкретно приписала эту кампанию Lazarus Group. ^{[47] [48] [49]}

Хакеры создали несколько профилей пользователей в Twitter , GitHub и LinkedIn, выдавая себя за законных исследователей уязвимостей программного обеспечения , и использовали эти профили для взаимодействия с публикациями и контентом, созданными другими участниками сообщества исследователей безопасности. Затем хакеры нацелились на конкретных исследователей безопасности, связавшись с ними напрямую с предложением о сотрудничестве в исследовании, с целью заставить жертву загрузить файл, содержащий вредоносное ПО, или посетить запись в блоге на веб-сайте, контролируемом хакерами. ^[49]

Некоторые жертвы, посетившие пост в блоге, сообщили, что их компьютеры были скомпрометированы, несмотря на использование полностью исправленных версий браузера Google Chrome , что позволяет предположить, что хакеры могли использовать ранее неизвестную уязвимость нулевого дня, влияющую на Chrome, для атаки; ^[47] однако Google заявила, что на момент составления отчета они не смогли подтвердить точный метод взлома. ^[48]

Март 2022 онлайн игра Axie Infinity атака

В марте 2022 года Lazarus Group была признана ответственной за кражу криптовалют на сумму 620 миллионов долларов из Ronin Network, моста, используемого игрой Axie Infinity . ^[50] ФБР заявило: «Благодаря нашим расследованиям мы смогли подтвердить, что Lazarus Group и APT38, киберпреступники, связанные с [Северной Кореей], несут ответственность за кражу». ^[51]

Атака на мост «Горизонт» в июне 2022 г.

ФБР подтвердило, что северокорейская группа киберпреступников Lazarus (также известная как APT38) несет ответственность за кражу 100 миллионов долларов виртуальной валюты с моста Horizon компании Harmony, о которой было сообщено 24 июня 2022 года. ^[52]

2023 атаки на криптовалюту

В отчете, опубликованном платформой безопасности блокчейна Immunefi, утверждается, что Lazarus несет ответственность за убытки в размере более 300 миллионов долларов в результате инцидентов взлома криптовалют в 2023 году. Эта сумма составляет 17,6% от общих потерь за год. ^[50]

Атака на Atomic Wallet в июне 2023 г.

В июне 2023 года у пользователей сервиса Atomic Wallet было украдено более 100 миллионов долларов в криптовалюте, ^[53] и это позже подтвердило ФБР. ^[54]

Сентябрь 2023 Взлом Stake.com

В сентябре 2023 года ФБР подтвердило, что кража криптовалюты на сумму 41 миллион долларов у Stake.com, онлайн-казино и платформы ставок, была совершена группой Lazarus Group. ^[55]

Санкции США

14 апреля 2022 года OFAC Министерства финансов США включило Lazarus в список SDN в соответствии с разделом 510.214 Положения о санкциях в отношении Северной Кореи. ^[56]

2024 криптовалютная атака

По сообщениям индийских СМИ, местная криптовалютная биржа WazirX была взломана группировкой, в результате чего были украдены криптоактивы на сумму 234,9 млн долларов США. ^[57]

Образование

Северокорейские хакеры профессионально отправляются в Шэньян , Китай, для специального обучения. Их обучают развертывать вредоносное ПО всех типов на компьютерах, компьютерных сетях и серверах. Образование внутри страны включает в себя Университет технологий Ким Чхэка , Университет Ким Ир Сена и Университет Моранбон, который выбирает самых талантливых студентов со всей страны и проводит их через шесть лет специального образования. ^{[10] [58]}

Единицы

Считается, что у Лазаря есть две единицы. ^{[59] [60]}

BlueNorOff

BlueNorOff (также известная как: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE ^[61] ) — финансово мотивированная группа, которая занимается незаконными переводами денег посредством поддельных заказов от SWIFT . BlueNorOff также называется APT38 (по Mandiant ) и Stardust Chollima (по Crowdstrike ). ^{[62] [63]}

Согласно отчету армии США за 2020 год, в Bluenoroff насчитывается около 1700 членов, занимающихся финансовыми киберпреступлениями, концентрируясь на долгосрочной оценке и эксплуатации уязвимостей сетей и систем противника для получения финансовой выгоды для режима или для захвата системы. ^[64] Они нацелены на финансовые учреждения и криптовалютные биржи, включая более 16 организаций по меньшей мере в 13 странах ^[a] в период с 2014 по 2021 год: Бангладеш, Чили, Индия, Мексика, Пакистан, Филиппины, Южная Корея, Тайвань, Турция и Вьетнам. Предполагается, что доходы идут на разработку ракетных и ядерных технологий. ^{[61] [60]}

Самой печально известной атакой BlueNorOff было ограбление Bangladesh Bank в 2016 году , когда они попытались использовать сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета в Федеральном резервном банке Нью-Йорка, принадлежащего Bangladesh Bank , центральному банку Бангладеш. После того, как несколько транзакций были проведены (20 миллионов долларов США были отслежены в Шри-Ланке и 81 миллион долларов США — на Филиппинах ), Федеральный резервный банк Нью-Йорка заблокировал оставшиеся транзакции из-за подозрений, вызванных опечаткой. ^[60]

Вредоносное ПО, связанное с BlueNorOff, включает: « DarkComet , Mimikatz , Nestegg, Macktruck, WannaCry , Whiteout, Quickcafe, Rawhide , Smoothride, TightVNC , Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe , sysmon , Bootwreck, Cleantoad, Closeshave, Dyepack , Hermes, Twopence, Electricfish, Powerratankba и Powerspritz» ^[61]

Тактики, обычно используемые BlueNorOff, включают: фишинг, бэкдоры, ^[60] Drive-by-компрометацию, атаку Watering hole , использование небезопасных устаревших версий Apache Struts 2 для выполнения кода в системе, стратегический веб-компрометацию и доступ к серверам Linux. ^[61] Сообщается, что они иногда работают вместе с преступными хакерами. ^[65]

ИАриэль

AndAriel (также пишется Andarial, ^[64] и также известна как: Silent Chollima, Dark Seoul, Rifle и Wassonite ^[61] ) логистически характеризуется своей направленностью на Южную Корею . Альтернативное название AndAriel называется Silent Chollima из-за скрытного характера подгруппы. ^[66] Любая организация в Южной Корее уязвима для AndAriel. Цели включают правительство, оборону и любой экономический символ. ^{[67] [68]}

Согласно отчету армии США за 2020 год, в Andarial насчитывается около 1600 членов, чьей миссией является разведка, оценка уязвимостей сети и картирование сети противника для потенциальной атаки. ^[64] Помимо Южной Кореи, они также нацелены на другие правительства, инфраструктуру и предприятия. Векторы атак включают: ActiveX, уязвимости в южнокорейском программном обеспечении, атаки типа «водопад» , целевой фишинг (макро), продукты управления ИТ (антивирус, PMS) и цепочку поставок (установщики и программы обновления). Используемое вредоносное ПО включает: Aryan, Gh0st RAT , Rifdoor, Phandoor и Andarat. ^[61]

Обвинительные заключения

В феврале 2021 года Министерство юстиции США предъявило обвинения трем членам Генерального бюро разведки , северокорейского военного разведывательного агентства, за участие в нескольких хакерских кампаниях Lazarus: Пак Джин Хёк , Джон Чан Хёк и Ким Ир Пак. Джин Хёк уже был обвинен ранее в сентябре 2018 года. Эти лица не находятся под стражей в США. Канадец и два китайца также были обвинены в том, что они выступали в качестве денежных мулов и отмывали деньги для группы Lazarus. ^{[69] [70]}

Смотрите также

• Бюро 121
• Кимсуки
• Отношения между Северной Кореей и Соединенными Штатами Америки
• Пак Джин Хёк
• Рикошет Чоллима

Примечания

1. «по сообщениям прессы, успешно провел подобные операции против банков в Бангладеш, Индии, Мексике, Пакистане, Филиппинах, Южной Корее, Тайване, Турции, Чили и Вьетнаме» ^[60]

Ссылки

1. «Северокорейские санкции; Глобальный санкционированный список Магнитского». Министерство финансов США . 2019. ГРУППА LAZARUS (также известная как «APPLEWORM»; также известная как «APT-C-26»; также известная как «ГРУППА 77»; также известная как «СТРАЖИ МИРА»; также известная как «СКРЫТАЯ КОБРА»; также известная как «ОФИС 91»; также известная как «RED DOT»; также известная как «TEMP.HERMIT»; также известная как «КОМАНДА НОВОЙ РОМАНТИЧЕСКОЙ КИБЕРАРМИИ»; также известная как «КОМАНДА ВЗЛОМА WHOIS»; также известная как «ЦИНК»), округ Потонган...
2. "Группа Lazarus | Документация InsightIDR". Rapid7 . Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Бюро 121, COVELLITE, Dark Seoul, GOP, Группа 77, Guardian of Peace, Guardians of Peace, Группа Hastati, HIDDEN COBRA, Лабиринт Chollima, Lazarus, NewRomantic Cyber ​​Army Team, АКАДЕМИЯ NICKEL, Операция AppleJesus, Операция DarkSeoul, Операция GhostSecret, Операция Troy, Silent Chollima, Подгруппа: Andariel, Подгруппа: Bluenoroff, Подразделение 121, Команда взлома Whois, Команда WHOis, ZINC
3. "NICKEL ACADEMY | Secureworks". secureworks.com . Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (правительство США), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber ​​Army Team, NNPT Group, The Lazarus Group, Who Am I?, Whois Team, ZINC (Microsoft)
4. «СКРЫТАЯ КОБРА - Инфраструктура ботнета DDoS Северной Кореи | CISA» . us-cert.cisa.gov . СНГА. 2017.
5. "Группа Лазаря, СКРЫТАЯ КОБРА, Хранители Мира, ЦИНК, НИКЕЛЕВАЯ АКАДЕМИЯ, Группа G0032 | MITRE ATT&CK®". MITRE ATT&CK . Корпорация MITRE.
6. "Как Microsoft называет субъектов угроз". Microsoft . Получено 21 января 2024 г. .
7. «Microsoft и Facebook предотвращают атаку вредоносного ПО ZINC, чтобы защитить клиентов и Интернет от продолжающихся киберугроз». Microsoft о проблемах . 2017-12-19 . Получено 2019-08-16 .
8. "ФБР пресекло деятельность северокорейского вредоносного ПО для слежки, связанного с Lazarus". IT PRO . 13 мая 2019 г. Получено 16 августа 2019 г.
9. Герреро-Сааде, Хуан Андрес; Мориучи, Присцилла (16 января 2018 г.). «Северная Корея нацелилась на южнокорейских пользователей криптовалюты и биржу в кампании конца 2017 года». Записано Future . Архивировано из оригинала 16 января 2018 г.
10. «Наркотики, оружие и террор: известный перебежчик в Северной Корее Кима». BBC News . 2021-10-10 . Получено 2021-10-11 .
11. «Кто такой Лазарус? Новейший коллектив киберпреступников Северной Кореи». www.cyberpolicy.com . Получено 26.08.2020 .
12. Бидхэм, Мэтью (2020-01-09). «Северокорейская хакерская группа Lazarus использует Telegram для кражи криптовалюты». Hard Fork | The Next Web . Получено 2020-08-26 .
13. "Программист, поддерживаемый северокорейским режимом, обвиняется в заговоре с целью проведения многочисленных кибератак и вторжений". www.justice.gov . 2018-09-06 . Получено 2022-01-14 .
14. "BBC World Service - Ограбление Лазаря, 10. Выключатель". BBC . 20 июня 2021 . Получено 21 апреля 2022 г. .
15. "Исследователи безопасности говорят, что таинственная „Lazarus Group“ взломала Sony в 2014 году". The Daily Dot . 24 февраля 2016 г. Получено 29 февраля 2016 г.
16. "Вредоносное ПО злоумышленников SWIFT связано с большим количеством финансовых атак". Symantec . 2016-05-26 . Получено 2017-10-19 .
17. Ashok, Индия (17.10.2017). "Lazarus: северокорейские хакеры подозреваются в краже миллионов в тайваньском банке в киберограблении". International Business Times UK . Получено 19.10.2017 .
18. "Два байта к $951 млн". baesystemsai.blogspot.co.uk . Получено 2017-05-15 .
19. «Эксперты по безопасности утверждают, что кибератаки связаны с Северной Кореей». The Telegraph . 2017-05-16 . Получено 2017-05-16 .
20. Солон, Оливия (15.05.2017). «Эксперты по кибербезопасности утверждают, что вирус-вымогатель WannaCry связан с Северной Кореей». The Guardian . ISSN  0261-3077 . Получено 16.05.2017 .
21. GReAT – Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» (2017-03-03). «Lazarus Under The Hood». Securelist . Получено 2017-05-16 .
22. Программа-вымогатель WannaCry связана с предполагаемыми северокорейскими хакерами (2017-03-03). "The Wired". Securelist . Получено 2017-05-16 .
23. «Еще одно доказательство «связи» WannaCry с северокорейскими хакерами». BBC News . 2017-05-23 . Получено 2017-05-23 .
24. «Хакеры Sony сеяли хаос за годы до того, как атаковали компанию». WIRED . Получено 01.03.2016 .
25. "Sony жестко взломали: что мы знаем и не знаем до сих пор". WIRED . Получено 01.03.2016 .
26. "A Breakdown and Analysis of the December, 2014 Sony Hack". www.riskbasedsecurity.com . 5 декабря 2014. Архивировано из оригинала 2016-03-04 . Получено 2016-03-01 .
27. Ван Баскирк, Питер (2016-03-01). "Пять причин, по которым операция "Блокбастер" имеет значение". Novetta . Архивировано из оригинала 2017-07-07 . Получено 2017-05-16 .
28. "Novetta Exposes Depth of Sony Pictures Attack — Novetta". 24 февраля 2016 г. Архивировано из оригинала 27 января 2018 г. Получено 19 июня 2016 г.
29. "Лаборатория Касперского помогает пресечь деятельность Lazarus Group, ответственной за многочисленные разрушительные кибератаки | Лаборатория Касперского". www.kaspersky.com . Архивировано из оригинала 2016-09-01 . Получено 2016-02-29 .
30. Шрам, Джейми (22 марта 2016 г.). «Конгрессмен хочет провести расследование «наглой» кражи 81 млн долларов из Федерального резервного банка Нью-Йорка». New York Post .
31. Шапиро, Скотт (2023). Fancy Bear Goes Phishing: Темная история информационного века в пяти необычных хакерских атаках (1-е изд.). Нью-Йорк: Farrar, Straus and Giroux. стр. 316. ISBN 978-0-374-60117-1.
32. "Киберпреступная группа Lazarus взломала Бангладешский банк". thedailystar.net . 20 апреля 2017 г. Получено 13 мая 2021 г.
33. «США предъявили обвинения Северной Корее в взломе банка Бангладеш». finextra.com . 6 сентября 2018 г. Получено 13 мая 2021 г.
34. "Как защититься от TCP-порта 445 и других эксплойтов SMB". SearchSecurity . Получено 2022-01-14 .
35. Шторм, Дарлин (2016-04-13). "Крипточерви: будущее ада программ-вымогателей". Computerworld . Получено 2022-01-14 .
36. 10. Kill switch, 2021-06-20 , получено 2022-01-14
37. Al Ali, Nour (2018-01-16). «За криптоатакой на Юге замечена северокорейская хакерская группа». Bloomberg.com . Получено 2018-01-17 .
38. Kharpal, Arjun (17.01.2018). «Хакеры, поддерживаемые правительством Северной Кореи, пытаются украсть криптовалюту у пользователей Южной Кореи». CNBC . Получено 17.01.2018 .
39. Mascarenhas, Hyacinth (17.01.2018). «Lazarus: северокорейские хакеры, связанные со взломом Sony, стояли за криптовалютными атаками в Южной Корее». International Business Times UK . Получено 17.01.2018 .
40. Limitone, Julia (2018-01-17). «Биткоин и криптовалюты стали целью северокорейских хакеров, сообщается в отчете». Fox Business . Получено 2018-01-17 .
41. Эшфорд, Уорик (17.01.2018). «Северокорейские хакеры связаны с криптовалютными атаками в Южной Корее». Computer Weekly . Получено 17.01.2018 .
42. "Южнокорейская криптобиржа подала заявление о банкротстве после взлома". The Straits Times . 2017-12-20 . Получено 17-01-2018 .
43. «Аналитики говорят, что биткоин-биржи подверглись атакам северокорейских хакеров». MSN Money . 2017-12-21. Архивировано из оригинала 2018-01-18 . Получено 2018-01-17 .
44. "Обновление расследования нарушения безопасности NiceHash – NiceHash". NiceHash . Получено 2018-11-13 .
45. Volz (16 сентября 2019 г.). «США рассматривают хакерские атаки Северной Кореи как угрозу национальной безопасности». MSN . Получено 16 сентября 2019 г. .
46. Стаббс, Джек (27 ноября 2020 г.). "Эксклюзив: предполагаемые северокорейские хакеры атаковали производителя вакцины от COVID AstraZeneca – источники". Reuters .
47. Newman, Lily Hay. «Северная Корея нацелилась и обманула множество профессионалов в области кибербезопасности». Wired . ISSN  1059-1028 . Получено 17.03.2023 .
48. "Новая кампания, нацеленная на исследователей безопасности". Google . 2021-01-25 . Получено 2023-03-13 .
49. Intelligence, Microsoft Threat Intelligence Center (MSTIC), Microsoft Defender Threat (2021-01-28). "Атаки ZINC против исследователей безопасности". Блог Microsoft Security . Получено 13.03.2023 .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
50. "Связанная с Северной Кореей Lazarus Group ответственна за почти 20% потерь криптовалют — на сумму более 300 миллионов долларов — в 2023 году". Fortune Crypto . Получено 15.12.2023 .
51. "Северокорейские хакеры нацелились на геймеров, ограбив криптовалюту на сумму 615 млн долларов - США". BBC News . 2022-04-15 . Получено 2022-04-15 .
52. "ФБР подтверждает, что киберпреступники из Lazarus Group ответственны за кражу валюты с моста Horizon компании Harmony". Федеральное бюро расследований . Получено 22.03.2023 .
53. Саттер, Рафаэль (2023-06-13). «По словам аналитиков, северокорейские хакеры украли 100 миллионов долларов в ходе недавнего ограбления криптовалюты». Reuters . Получено 2023-12-05 .
54. «ФБР идентифицирует криптовалютные средства, украденные КНДР». ФБР . 22 августа 2023 г.
55. «ФБР идентифицирует киберпреступников Lazarus Group как ответственных за кражу 41 миллиона долларов из Stake.com». ФБР . 6 сентября 2023 г.
56. "North Korea Designation Update". Министерство финансов США . Получено 2022-04-15 .
57. D'Cruze, Danny (29.07.2024). "WazirX взломан: северокорейские хакеры стоят за кражей 235 миллионов долларов у индийских инвесторов, сообщается в отчете". Business Today . Получено 31.07.2024 .
58. «Как Северная Корея, едва подключившись, стала хакерской сверхдержавой». South China Morning Post . 1 февраля 2018 г. Получено 10 октября 2021 г.
59. EST, Джейсон Мердок 03.09.18 в 09:54 (09.03.2018). «Пока Трамп сближается с Ким Чен Ыном, северокорейские хакеры атакуют крупные банки». Newsweek . Получено 16.08.2019 .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
60. «Министерство финансов вводит санкции против спонсируемых государством северокорейских вредоносных кибергрупп». Министерство финансов США . 2019.
61. Центр координации кибербезопасности сектора здравоохранения, (HC3) (2021). "Киберактивность Северной Кореи" (PDF) . Министерство здравоохранения и социальных служб США .{{cite web}}: CS1 maint: numeric names: authors list (link)
62. Мейерс, Адам (2018-04-06). "STARDUST CHOLLIMA | Профиль актора угрозы | CrowdStrike" . Получено 2019-08-16 .
63. Lazarus APT Spinoff связан с банковскими взломами | Threatpost
64. "Тактика Северной Кореи" (PDF) . Федерация американских ученых . Армия США. 2020. С. E-1, E-2.
65. "FASTCash 2.0: северокорейские BeagleBoyz грабят банки | CISA". 24 октября 2020 г.
66. Альперович, Дмитрий (2014-12-19). "ФБР вовлекает Северную Корею в разрушительные атаки" . Получено 2019-08-16 .
67. Сан-Хун, Чхве (10.10.2017). «Северокорейские хакеры украли военные планы США и Южной Кореи, заявил законодатель». The New York Times . ISSN  0362-4331 . Получено 16.08.2019 .
68. Хасс, Дариен. «Северная Корея укушена биткойн-жуком» (PDF) . proofpoint.com . Получено 16.08.2019 .
69. Cimpanu, Catalin (17 февраля 2021 г.). «США предъявили обвинения еще двум членам северокорейской хакерской группы «Лазарь»». ZDNet . Получено 20 февраля 2021 г.
70. «Три северокорейских военных хакера обвиняются в широкомасштабной схеме совершения кибератак и финансовых преступлений по всему миру». Министерство юстиции США . 17 февраля 2021 г. Архивировано из оригинала 8 апреля 2023 г.

Источники

• Новости о вирусах (2016). «Лаборатория Касперского помогает пресечь деятельность группы Lazarus, ответственной за многочисленные разрушительные кибератаки», Лаборатория Касперского .
• RBS (2014). «Разбор и анализ взлома Sony в декабре 2014 года». RiskBased Security.
• Кэмерон, Делл (2016). «Исследователи безопасности говорят, что таинственная «группа Lazarus» взломала Sony в 2014 году», The Daily Dot.
• Зеттер, Ким (2014). «Sony жестко взломали: что мы знаем и не знаем до сих пор», Wired.
• Зеттер, Ким (2016). «Хакеры Sony сеяли хаос за годы до того, как атаковали компанию», Wired.

Внешние ссылки

• Обвинение Пак Джин Хёка, сентябрь 2018 г.
• Обвинение Пак Джин Хёка, Чон Чан Хёка и Ким Ира, январь 2020 г.
• Подкаст «Ограбление Лазаря» из 10 частей от BBC World Service .