Jump to content

Лазарь Групп

Лазарь Групп
Организация Лазаря
Формирование в. 2009 год [1]
Тип Расширенная постоянная угроза
Цель Кибершпионаж , кибервойна
Область
Район Катганг , Пхеньян , Северная Корея.
Методы Нулевые дни , целевой фишинг , вредоносное ПО , дезинформация , бэкдоры , дропперы
Официальный язык
корейский
Головная организация
Главное разведывательное управление
Корейский компьютерный центр
Командование кибервойны Nonserviam
Принадлежности Бюро 121 , Отряд 180 , АндАриэль
Ранее назывался
АПТ38
Боги Апостолы
Ученики богов
Стражи мира
ЦИНК
Команда Whois
Скрытая Кобра

Lazarus Group (также известная как Стражи мира или Whois Team) [1] [2] [3] ) — хакерская группа, состоящая из неизвестного числа лиц, предположительно управляемая правительством Северной Кореи . Хотя о группе Lazarus известно немногое, исследователи связывают с ней множество кибератак , начиная с 2010 года. Первоначально это была преступная группа, теперь группа была определена как продвинутая постоянная угроза из-за преднамеренного характера, угрозы и широкого спектра методов, используемых при проведение операции. Названия, данные организациями по кибербезопасности, включают «Скрытую кобру» (используется Министерством внутренней безопасности США для обозначения злонамеренной киберактивности правительства Северной Кореи в целом). [4] [5] и ЦИНК или Алмазный мокрый снег [6] (от Microsoft ). [7] [8] [9] По словам северокорейского перебежчика Ким Кук Сона, в Северной Корее это подразделение известно как «Офис связи 414». [10]

Группа Lazarus имеет прочные связи с Северной Кореей . [11] [12] Министерство юстиции США заявило, что эта группа является частью стратегии правительства Северной Кореи, направленной на «подрыв глобальной кибербезопасности… и получение незаконных доходов в нарушение… санкций». [13] Северная Корея получает выгоду от проведения киберопераций, поскольку она может представлять асимметричную угрозу со стороны небольшой группы операторов, особенно для Южной Кореи. [14]

История [ править ]

Самая ранняя известная атака, за которую несет ответственность группа, известна как «Операция Троя», которая проводилась с 2009 по 2012 год. Это была кампания кибершпионажа, в которой использовались простые методы распределенной атаки типа «отказ в обслуживании » (DDoS) для Правительство Южной Кореи в Сеуле. Они также несут ответственность за нападения в 2011 и 2013 годах. Возможно, что они также стояли за атакой 2007 года, направленной на Южную Корею, но это пока неясно. [15] Заметной атакой, которой известна группа, является атака на Sony Pictures в 2014 году . В атаке на Sony использовались более сложные методы, что показало, насколько продвинутой стала группа с течением времени.

ФБР хотело привлечь к ответственности одного из хакеров Lazarus Group, Пак Джин Хёка.

Сообщается, что в 2015 году группа Lazarus украла 12 миллионов долларов США у Banco del Austro в Эквадоре и 1 миллион долларов США у вьетнамского банка Tien Phong Bank . [16] Они также атаковали банки в Польше и Мексике. [17] году Ограбление банка в 2016 [18] включало нападение на Банк Бангладеш , в результате которого была успешно украдена 81 миллион долларов США и была приписана этой группе. Сообщалось, что в 2017 году группа Lazarus украла 60 миллионов долларов США у Дальневосточного международного банка Тайваня, хотя фактическая украденная сумма неизвестна, и большая часть средств была возвращена. [17]

Неясно, кто на самом деле стоит за группой, но сообщения СМИ предполагают, что группа имеет связи с Северной Кореей . [19] [20] [17] В 2017 году «Лаборатория Касперского» сообщила, что Lazarus, как правило, концентрируется на шпионаже и кибератаках с проникновением, тогда как подгруппа внутри их организации, которую Касперский назвал Bluenoroff, специализировалась на финансовых кибератаках. Касперский обнаружил несколько атак по всему миру и прямую связь ( IP-адрес ) между Bluenoroff и Северной Кореей. [21]

Однако Касперский также признал, что повторение кода может быть «ложным флагом», призванным ввести в заблуждение следователей и связать атаку с Северной Кореей, учитывая, что всемирная кибератака-червь WannaCry также скопировала методы АНБ. Этот вирус-вымогатель использует эксплойт АНБ, известный как EternalBlue , который хакерская группа Shadow Brokers обнародовала в апреле 2017 года. [22] В 2017 году Symantec сообщила, что за атакой WannaCry «весьма вероятно» стоит Лазарус. [23]

Операция 2009 Троя

Основная статья: Кибератаки в июле 2009 г.

Первый крупный хакерский инцидент со стороны Lazarus Group произошел 4 июля 2009 года и положил начало операции «Троя». В этой атаке использовалось вредоносное ПО Mydoom и Dozer для запуска крупномасштабной, но довольно простой DDoS-атаки на веб-сайты США и Южной Кореи. Залп атак поразил около трех десятков веб-сайтов и поместил в главную загрузочную запись (MBR) текст «Память Дня независимости».

Кибератака в Южной Корее, 2013 г. (Операция 1Mission DarkSeoul / )

Основная статья: Кибератака в Южной Корее в 2013 г.
См. также: DarkSeoul (дворник)

Со временем атаки этой группы стали более изощренными; их методы и инструменты стали более развитыми и эффективными. Атака в марте 2011 года, известная как «Десять дней дождя», была нацелена на южнокорейские СМИ, финансовую и критически важную инфраструктуру и состояла из более сложных DDoS-атак, исходивших со взломанных компьютеров в Южной Корее. Атаки продолжились 20 марта 2013 г. с помощью DarkSeoul, атаки с использованием Wiper, направленной против трех южнокорейских телекомпаний, финансовых институтов и интернет-провайдера. В то время ответственность за эту атаку взяли на себя две другие группы, выступавшие под псевдонимами «NewRomanic Cyber ​​Army Team и WhoIs Team», но исследователи не знали, что в то время за ней стояла группа Lazarus. Сегодня исследователи знают Lazarus Group как супергруппу, стоящую за разрушительными атаками. [24]

года: взлом Sony Конец 2014

Основная статья: Взлом Sony Pictures

Атаки Lazarus Group достигли кульминации 24 ноября 2014 года. В этот день на Reddit появилось сообщение о том, что компания Sony Pictures была взломана неизвестным способом; преступники назвали себя «Стражниками мира». Большие объемы данных были украдены и медленно просачивались в сеть в течение нескольких дней после атаки. В интервью с кем-то, утверждающим, что он является частью группы, говорилось, что они перекачивали данные Sony более года. [25]

Хакерам удалось получить доступ к ранее неизданным фильмам, сценариям некоторых фильмов, планам будущих фильмов, информации о зарплатах руководителей компании, электронной почте и личной информации около 4000 сотрудников. [26]

Расследование начала 2016 года: операция » « Блокбастер

Под названием «Операция Блокбастер» коалиция охранных компаний во главе с Новеттой [27] [28] смог проанализировать образцы вредоносного ПО, обнаруженные в различных инцидентах кибербезопасности. Используя эти данные, команда смогла проанализировать методы, используемые хакерами. Они связали Lazarus Group с рядом атак посредством повторного использования кода. [29]

Банка Бангладеш, 2016 Кибер - ограбление г.

Основная статья: Ограбление банка Бангладеш

Кибер-ограбление Банка Бангладеш - это кража, произошедшая в феврале 2016 года. Хакеры безопасности через сеть SWIFT выдали тридцать пять мошеннических инструкций по незаконному переводу около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Банку Бангладеш. , центральный банк Бангладеш. Пять из тридцати пяти мошеннических инструкций позволили перевести 101 миллион долларов США, из которых 20 миллионов долларов США были отправлены в Шри-Ланку, а 81 миллион долларов США - на Филиппины. Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильно написанной инструкцией. [30] [31] Эксперты по кибербезопасности заявили, что за атакой стояла северокорейская группа Lazarus Group. [32] [33]

Май 2017 г. Атака программы WannaCry - вымогателя

Основная статья: Атака программы-вымогателя WannaCry

представляла Атака WannaCry собой массовую кибератаку с использованием программы-вымогателя, которая поразила учреждения по всему миру, от Национальной службы здравоохранения Великобритании до Boeing и даже университетов в Китае 12 мая 2017 года. Атака длилась 7 часов 19 минут. По оценкам Европола , вирус затронул около 200 000 компьютеров в 150 странах, в первую очередь в России, Индии, Украине и Тайване. Это была одна из первых атак, осуществленных с помощью крипточервя . Крипточерви — это новейшая форма компьютерного вируса, который может перемещаться между компьютерами по сети, используя TCP-порт 445. [34] ). Чтобы заразиться, не обязательно переходить по плохой ссылке — вредоносное ПО может распространяться автономно, с компьютера на подключенный принтер, а затем на соседние компьютеры, возможно, подключенные к Wi-Fi и т. д. Уязвимость порта 445 позволяла заразиться вредоносное ПО свободно перемещается по интрасетям и быстро заражает тысячи компьютеров. Атака Wannacry была одним из первых крупномасштабных применений крипточервя. [35] [36]

Атака [ править ]

Вирус воспользовался уязвимостью в операционной системе Windows, а затем зашифровал данные компьютера в обмен на сумму биткойнов стоимостью примерно 300 долларов США для получения ключа. Чтобы стимулировать оплату, требование выкупа удвоилось через три дня, а если не выплачено в течение недели, вредоносная программа удаляет зашифрованные файлы данных. Вредоносная программа использовала законное программное обеспечение под названием Windows Crypto, созданное Microsoft, для шифрования файлов. После завершения шифрования к имени файла добавляется «Wincry», которое является корнем имени Wannacry. Wincry был основой шифрования, но два дополнительных эксплойта, EternalBlue и DoublePulsar , использовались вредоносной программой, чтобы превратить ее в крипточервя. EternalBlue автоматически распространяет вирус по сети, а DoublePulsar запускает его активацию на компьютере жертвы. Другими словами, EternalBlue получил зараженную ссылку на ваш компьютер, и DoublePulsar щелкнул по ней за вас. [36]

Исследователь безопасности Маркус Хатчинс положил конец атаке, когда он получил копию вируса от друга из исследовательской компании по безопасности и обнаружил аварийный выключатель, жестко закодированный в вирусе. Вредоносная программа включала периодическую проверку на предмет того, зарегистрировано ли определенное доменное имя , и продолжала шифровать только в том случае, если этого доменного имени не существовало. Хатчинс обнаружил эту проверку, а затем быстро зарегистрировал соответствующий домен в 15:03 по всемирному координированному времени. Вредоносное ПО немедленно прекратило свое распространение и заражение новых машин. Это было очень интересно и является ключом к пониманию того, кто создал вирус. Обычно для того, чтобы остановить вредоносное ПО, требуются месяцы борьбы между хакерами и экспертами по безопасности, поэтому эта легкая победа была неожиданной. Еще одним очень интересным и необычным аспектом атаки было то, что файлы невозможно было восстановить после уплаты выкупа: было собрано всего 160 000 долларов, что заставило многих поверить, что хакеры не гонялись за деньгами. [36]

Легкость отключения и отсутствие доходов заставили многих поверить, что атака была спонсирована государством; мотивом была не финансовая компенсация, а просто создание хаоса. После атаки эксперты по безопасности отследили эксплойт DoublePulsar до АНБ США , где эксплойт был разработан как кибероружие . Затем эксплойт был украден хакерской группой Shadow Brokers, которая сначала попыталась продать его с аукциона, но, не сумев сделать это, просто раздала его бесплатно. [36] Впоследствии АНБ сообщило об уязвимости Microsoft, которая выпустила обновление 14 марта 2017 года, чуть меньше месяца до того, как произошла атака. Этого было недостаточно. Обновление не было обязательным, и большинство компьютеров с уязвимостью не решили проблему к моменту наступления 12 мая, что привело к поразительной эффективности атаки.

Последствия [ править ]

Позднее Министерство юстиции США и британские власти приписали атаку WannaCry северокорейской хакерской группировке Lazarus. [13]

Криптовалютные 2017 года атаки

В 2018 году Recorded Future опубликовал отчет, связывающий Lazarus Group с атаками на пользователей криптовалюты Bitcoin и Monero , в основном в Южной Корее. [37] Сообщается, что эти атаки технически аналогичны предыдущим атакам с использованием программы-вымогателя WannaCry и атакам на Sony Pictures. [38] Одной из тактик, использованных хакерами Lazarus, было использование уязвимостей в Hancom от Hangul , южнокорейском текстовом редакторе. [38] Другая тактика заключалась в использовании целевых фишинговых приманок, содержащих вредоносное ПО, которые рассылались южнокорейским студентам и пользователям криптовалютных бирж, таких как Coinlink. Если пользователь открыл вредоносное ПО, оно похитило адреса электронной почты и пароли. [39] Coinlink отрицает, что их сайт или электронные письма и пароли пользователей были взломаны. [39] В отчете делается вывод: «Эта кампания конца 2017 года является продолжением интереса Северной Кореи к криптовалюте, которая, как мы теперь знаем, охватывает широкий спектр деятельности, включая майнинг, программы-вымогатели и прямое воровство…». [37] В отчете также говорится, что Северная Корея использовала эти криптовалютные атаки, чтобы избежать международных финансовых санкций. [40]

В феврале 2017 года северокорейские хакеры украли 7 миллионов долларов США у Bithumb . южнокорейской биржи [41] Youbit, еще одна южнокорейская компания по обмену биткойнов, подала заявление о банкротстве в декабре 2017 года после того, как 17% ее активов были украдены в результате кибератак после предыдущей атаки в апреле 2017 года. [42] В атаках были обвинены хакеры Lazarus и северокорейские хакеры. [43] [37] Nicehash , торговая площадка облачного майнинга криптовалют, потеряла более 4500 биткойнов в декабре 2017 года. В обновленной информации о расследованиях утверждается, что атака связана с Lazarus Group. [44]

Атаки в сентябре 2019 г. [ править ]

В середине сентября 2019 года США опубликовали публичное предупреждение о новой версии вредоносного ПО, получившего название ElectricFish. [45] С начала 2019 года северокорейские агенты предприняли пять крупных попыток кибер-кражи по всему миру, включая успешную кражу на сумму 49 миллионов долларов из учреждения в Кувейте . [45]

Атаки на фармацевтические компании в года конце 2020

Из-за продолжающейся пандемии COVID-19 фармацевтические компании стали основными целями для Lazarus Group. Используя методы целевого фишинга, члены Lazarus Group выдавали себя за представителей здравоохранения и связывались с сотрудниками фармацевтических компаний, используя вредоносные ссылки. Считается, что мишенью стали несколько крупных фармацевтических организаций, но подтверждено только одной — англо-шведской компанией AstraZeneca . Согласно сообщению агентства Reuters, [46] Под удар попал широкий круг сотрудников, в том числе многие из тех, кто участвовал в исследованиях вакцины против COVID-19. Неизвестно, какова была цель группы Lazarus в этих атаках, но вероятные возможности включают в себя:

  • Кража конфиденциальной информации с целью продажи с целью получения прибыли.
  • Схемы вымогательства.
  • Предоставление иностранным режимам доступа к запатентованным исследованиям COVID-19.

AstraZeneca не прокомментировала инцидент, и эксперты не считают, что какие-либо конфиденциальные данные пока были скомпрометированы. [ на момент? ]

кибербезопасности нацеленные на исследователей в январе 2021 года , Атаки

В январе 2021 года Google и Microsoft публично сообщили о группе северокорейских хакеров, нацеленных на исследователей кибербезопасности с помощью кампании социальной инженерии , причем Microsoft конкретно приписала эту кампанию Lazarus Group. [47] [48] [49]

Хакеры создали несколько профилей пользователей в Twitter , GitHub и LinkedIn, выдавая себя за законных исследователей уязвимостей программного обеспечения , и использовали эти профили для взаимодействия с сообщениями и контентом, созданными другими членами сообщества исследователей безопасности. Затем хакеры нацелились на конкретных исследователей безопасности, связавшись с ними напрямую с предложением о сотрудничестве в исследовании с целью заставить жертву загрузить файл, содержащий вредоносное ПО, или посетить сообщение в блоге на веб-сайте, контролируемом хакерами. [49]

Некоторые жертвы, посетившие сообщение в блоге, сообщили, что их компьютеры были скомпрометированы, несмотря на использование полностью исправленных версий браузера Google Chrome , что позволяет предположить, что хакеры, возможно, использовали ранее неизвестную уязвимость нулевого дня, затрагивающую Chrome; для атаки [47] однако Google заявила, что на момент публикации отчета они не смогли подтвердить точный метод компрометации. [48]

Март 2022 г., онлайн-игра Axie Infinity Attack [ править ]

В марте 2022 года Lazarus Group была признана ответственной за кражу на сумму 600 миллионов долларов из сети Ronin Network, моста, используемого игрой Axie Infinity . [50] В ФБР заявили: «Благодаря нашим расследованиям мы смогли подтвердить, что Lazarus Group и APT38, киберпреступники, связанные с [Северной Кореей], несут ответственность за кражу». [51]

Атака на мост Горизонт, 2022 июнь г.

ФБР подтвердило, что северокорейская группа злоумышленников-киберактеров Lazarus (также известная как APT38) несет ответственность за кражу виртуальной валюты на сумму 100 миллионов долларов с моста Harmony's Horizon, о которой сообщалось 24 июня 2022 года. [52]

Криптовалютные года 2023 атаки

В отчете, опубликованном платформой безопасности блокчейнов Immunefi, утверждается, что Lazarus несет ответственность за убытки на сумму более 300 миллионов долларов в результате инцидентов, связанных со взломом криптовалют в 2023 году. Эта сумма составляет 17,6% от общих убытков за год. [50]

Июнь 2023 г. Атака на Atomic Wallet [ править ]

В июне 2023 года у пользователей сервиса Atomic Wallet было украдено более $100 млн в криптовалюте. [53] и позже это было подтверждено ФБР. [54]

Сентябрь 2023 г. Взлом Stake.com [ править ]

В сентябре 2023 года ФБР подтвердило, что Lazarus Group совершила кражу криптовалюты на сумму 41 миллион долларов из Stake.com, онлайн-казино и платформы для ставок. [55]

Санкции США [ править ]

14 апреля 2022 года финансов США Министерства OFAC включило Lazarus в список SDN в соответствии с разделом 510.214 Положений о санкциях против Северной Кореи. [56]

Образование [ править ]

Северокорейских хакеров отправляют в Шэньян , Китай, для прохождения специальной подготовки. Их обучают развертыванию вредоносных программ всех типов на компьютерах, компьютерных сетях и серверах. Внутреннее образование включает Технологический университет Ким Чаека , Университет Ким Ир Сена и Университет Моранбонг, которые отбирают самых талантливых студентов со всей страны и отправляют их на шестилетнее специальное образование. [10] [57]

Единицы [ править ]

Считается, что у Лазаря две единицы. [58] [59]

БлюНорОфф [ править ]

BlueNorOff (также известный как: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE) [60] ) — финансово мотивированная группа, которая несет ответственность за незаконные переводы денег посредством подделки поручений из SWIFT . BlueNorOff также называется APT38 (от Mandiant ) и Stardust Chollima (от Crowdstrike ). [61] [62]

Согласно отчету армии США за 2020 год, Bluenoroff насчитывает около 1700 членов, которые занимаются финансовыми киберпреступлениями, концентрируясь на долгосрочной оценке и использовании уязвимостей вражеских сетей и систем для получения финансовой выгоды для режима или для взятия под контроль системы. [63] Они нацелены на финансовые учреждения и криптовалютные биржи, включая более 16 организаций как минимум в 13 странах. [а] с 2014 по 2021 год Бангладеш, Индия, Мексика, Пакистан, Филиппины, Южная Корея, Тайвань, Турция, Чили и Вьетнам. Предполагается, что доходы пойдут на развитие ракетных и ядерных технологий. [60] [59]

Самой печально известной атакой BlueNorOff стало ограбление Банка Бангладеш в 2016 году , в ходе которого они пытались использовать сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Bangladesh Bank , центральному банку Бангладеш. После того, как несколько транзакций прошли (20 миллионов долларов США были отправлены в Шри-Ланку и 81 миллион долларов США - на Филиппины ), Федеральный резервный банк Нью-Йорка заблокировал оставшиеся транзакции из-за подозрений, вызванных орфографической ошибкой. [59]

Вредоносные программы, связанные с BlueNorOff, включают: « DarkComet , Mimikatz , Nestegg , Macktruck , WannaCry , Whiteout , Quickcafe , Rawhide , Smoothride , TightVNC , Sorrybrute , Keylime , Snapshot , Mapmaker , net.exe , sysmon , Bootwreck , Cleantoad , Closeshave , Dyepack , Hermes , Twopence , Electricfish , Powerratankba и Powerspritz » [60]

Тактики, обычно используемые BlueNorOff, включают в себя: фишинг, бэкдоры, [59] Компромисс Drive-by, атака Watering Hole , использование небезопасных устаревших версий Apache Struts 2 для выполнения кода в системе, стратегический веб-компрометация и доступ к серверам Linux. [60] Сообщается, что иногда они сотрудничают с хакерами-преступниками. [64]

И Ариэль [ править ]

АндАриэль (также пишется Андариал, [63] а также известны как: Тихая Чоллима, Темный Сеул, Винтовка и Вассонит. [60] ) логистически характеризуется своей нацеленностью на Южную Корею . Альтернативное имя Ариэля называется Тихая Чоллима из-за скрытного характера подгруппы. [65] Любая организация в Южной Корее уязвима для AndAriel. Цели включают правительство, оборону и любой экономический символ. [66] [67]

Согласно отчету армии США за 2020 год, в состав Андариала входит около 1600 членов, чья миссия — разведка, оценка уязвимостей сети и составление карты вражеской сети на предмет потенциальной атаки. [63] Помимо Южной Кореи, они также нацелены на другие правительства, инфраструктуру и бизнес. Векторы атак включают в себя: ActiveX, уязвимости в южнокорейском программном обеспечении, атаки через «водопой» , целевой фишинг (макро), продукты управления ИТ (антивирус, PMS) и цепочку поставок (установщики и программы обновления). Используемые вредоносные программы включают: Aryan , Gh0st RAT , Rifdoor , Phandoor и Andarat . [60]

Обвинения [ править ]

В феврале 2021 года Министерство юстиции США предъявило обвинения трем членам Reconnaissance General Bureau , северокорейской военной разведки, в участии в нескольких хакерских кампаниях Lazarus: Пак Джин Хёку , Чон Чан Хёку и Ким Иль Паку. Обвинения Джин Хёку уже были предъявлены ранее, в сентябре 2018 года. Эти люди не находятся под стражей в США. Канадцу и двум китайцам также предъявлено обвинение в том, что они служили « денежными мулами» и отмывали деньги для группы «Лазарь». [68] [69]

См. также [ править ]

Примечания [ править ]

  1. ^ «по сообщениям прессы, успешно проводил подобные операции против банков Бангладеш, Индии, Мексики, Пакистана, Филиппин, Южной Кореи, Тайваня, Турции, Чили и Вьетнама» [59]

Ссылки [ править ]

  1. ^ «Обозначения Северной Кореи; глобальное обозначение Магнитского» . Министерство финансов США . 2019. LAZARUS GROUP (он же «ЯБЛОЧНЫЙ ЧЕРВЬ»; он же «APT-C-26»; он же «ГРУППА 77»; он же «СТРАЖИ МИРА»; он же «СКРЫТАЯ КОБРА»; он же «ОФИС 91»; он же «КРАСНАЯ ТОЧКА»; он же «КРАСНАЯ ТОЧКА»); он же «TEMP.HERMIT» он же «НОВАЯ КОМАНДА РОМАНТИЧЕСКОЙ КИБЕРАРМИИ», он же «КОМАНДА ХАКЕРОВ», также известный как «ЦИНК»), район Потонган...
  2. ^ «Lazarus Group | Документация InsightIDR» . Рапид7 . Андариэль, Яблочный червь, APT-C-26, APT38, Блюнорофф, Бюро 121, КОВЕЛЛАЙТ, Темный Сеул, Республиканская партия, Группа 77, Страж мира, Стражи мира, Группа Хастати, СКРЫТАЯ КОБРА, Лабиринт Чоллима, Лазарь, Команда киберармии NewRomantic , НИКЕЛЕВАЯ АКАДЕМИЯ, Операция AppleJesus, Операция DarkSeoul, Операция GhostSecret, Операция Троя, Тихая Чоллима, Подгруппа: Андариэль, Подгруппа: Bluenoroff, Отряд 121, Команда хакеров Whois, Команда WHOis, ZINC
  3. ^ «НИКЕЛЕВАЯ АКАДЕМИЯ | Secureworks» . SecureWorks.com . Черная Артемида (PWC), КОВЕЛЛИТ (Драгос), CTG-2460 (SCWX CTU), Темный Сеул, Стражи мира, СКРЫТАЯ КОБРА (Правительство США), Высокий аноним, Лабиринт Чоллима (CrowdStrike), Команда новой романской киберармии, Группа NNPT , Группа Lazarus, Кто я?, Команда Whois, ZINC (Microsoft)
  4. ^ «СКРЫТАЯ КОБРА — Инфраструктура бот-сети DDoS Северной Кореи | CISA» . us-cert.cisa.gov . СНГА. 2017.
  5. ^ «Группа Лазарь, СКРЫТАЯ КОБРА, Стражи мира, АКАДЕМИЯ ЦИНК, НИКЕЛЬ, Группа G0032 | MITRE ATT&CK®» . МИТРА АТТ&КК . Корпорация МИТЕР.
  6. ^ «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
  7. ^ «Microsoft и Facebook предотвращают атаку вредоносного ПО ZINC, чтобы защитить клиентов и Интернет от постоянных киберугроз» . Microsoft о проблемах . 19 декабря 2017 г. Проверено 16 августа 2019 г.
  8. ^ «ФБР блокирует северокорейское вредоносное ПО, связанное с Lazarus» . ЭТО ПРОФЕССИОНАЛЬНО . Проверено 16 августа 2019 г.
  9. ^ Герреро-Сааде, Хуан Андрес; Мориучи, Присцилла (16 января 2018 г.). «Северная Корея нацелилась на пользователей и биржи южнокорейской криптовалюты в кампании конца 2017 года» . Записанное будущее . Архивировано из оригинала 16 января 2018 года.
  10. ^ Jump up to: Перейти обратно: а б «Наркотики, оружие и террор: высокопоставленный перебежчик из Северной Кореи Кима» . Новости Би-би-си . 10.10.2021 . Проверено 11 октября 2021 г.
  11. ^ «Кто такой Лазарь? Новейший коллектив киберпреступников Северной Кореи» . www.cyberpolicy.com . Проверено 26 августа 2020 г.
  12. ^ Бидхэм, Мэтью (9 января 2020 г.). «Северокорейская хакерская группа Lazarus использует Telegram для кражи криптовалюты» . Хард-форк | Следующая сеть . Проверено 26 августа 2020 г.
  13. ^ Jump up to: Перейти обратно: а б «Программист, поддерживаемый режимом Северной Кореи, обвинен в заговоре с целью проведения многочисленных кибератак и вторжений» . www.justice.gov . 06.09.2018 . Проверено 14 января 2022 г.
  14. ^ «Всемирная служба BBC - Ограбление Лазаря, 10. Выключатель» . Би-би-си . Проверено 21 апреля 2022 г.
  15. ^ «Исследователи безопасности говорят, что загадочная группа Lazarus взломала Sony в 2014 году» . Ежедневная точка . 24 февраля 2016 г. Проверено 29 февраля 2016 г.
  16. ^ «Вредоносное ПО злоумышленников SWIFT связано с большим количеством финансовых атак» . Симантек . 26 мая 2016 г. Проверено 19 октября 2017 г.
  17. ^ Jump up to: Перейти обратно: а б с Ашок, Индия (17 октября 2017 г.). «Лазарь: северокорейские хакеры подозреваются в краже миллионов долларов в результате киберограбления тайваньского банка» . Интернэшнл Бизнес Таймс, Великобритания . Проверено 19 октября 2017 г.
  18. ^ «Два байта — 951 миллион долларов» . baesystemsai.blogspot.co.uk . Проверено 15 мая 2017 г.
  19. ^ «Кибератаки связаны с Северной Кореей, утверждают эксперты по безопасности» . Телеграф . 16 мая 2017 г. Проверено 16 мая 2017 г.
  20. ^ Солон, Оливия (15 мая 2017 г.). «Эксперты по кибербезопасности утверждают, что программа-вымогатель WannaCry связана с Северной Кореей» . Хранитель . ISSN   0261-3077 . Проверено 16 мая 2017 г.
  21. ^ GReAT – Группа глобальных исследований и анализа «Лаборатории Касперского» (03.03.2017). «Лазарь под колпаком» . Список безопасности . Проверено 16 мая 2017 г.
  22. ^ Программа-вымогатель WannaCry имеет связь с подозреваемыми северокорейскими хакерами (03.03.2017). «Проводной» . Список безопасности . Проверено 16 мая 2017 г.
  23. ^ «Еще больше доказательств «связи» WannaCry с северокорейскими хакерами» . Новости Би-би-си . 23 мая 2017 г. Проверено 23 мая 2017 г.
  24. ^ «Хакеры Sony устроили хаос за годы до того, как напали на компанию» . ПРОВОДНОЙ . Проверено 1 марта 2016 г.
  25. ^ «Sony сильно взломали: что мы знаем и чего не знаем» . ПРОВОДНОЙ . Проверено 1 марта 2016 г.
  26. ^ «Анализ и анализ взлома Sony в декабре 2014 г.» . www.riskbasedsecurity.com . 5 декабря 2014 г. Архивировано из оригинала 04 марта 2016 г. Проверено 1 марта 2016 г.
  27. ^ Ван Баскирк, Питер (01 марта 2016 г.). «Пять причин, почему операция «Блокбастер» имеет значение» . Новетта . Архивировано из оригинала 7 июля 2017 г. Проверено 16 мая 2017 г.
  28. ^ «Новетта раскрывает глубину атаки на Sony Pictures — Novetta» . 24 февраля 2016 г. Архивировано из оригинала 27 января 2018 г. . Проверено 19 июня 2016 г.
  29. ^ «Лаборатория Касперского помогает сорвать деятельность группы Lazarus, ответственной за многочисленные разрушительные кибератаки | Лаборатория Касперского» . www.kaspersky.com . Архивировано из оригинала 1 сентября 2016 г. Проверено 29 февраля 2016 г.
  30. ^ Шрам, Джейми (22 марта 2016 г.). «Конгрессмен хочет расследовать «наглую» кражу 81 миллиона долларов из Федерального резервного банка Нью-Йорка» . Нью-Йорк Пост .
  31. ^ Шапиро, Скотт (2023). Fancy Bear Goes Phishing: Темная история информационной эпохи в пяти необычных хаках (1-е изд.). Нью-Йорк: Фаррар, Штраус и Жиру. п. 316. ИСБН  978-0-374-60117-1 .
  32. ^ «Группа киберпреступников Lazarus взломала Банк Бангладеш» . thedailystar.net . 20 апреля 2017 года . Проверено 13 мая 2021 г.
  33. ^ «США обвиняют Северную Корею в взломе банка Бангладеш» . Finextra.com . 6 сентября 2018 года . Проверено 13 мая 2021 г.
  34. ^ «Как защититься от TCP-порта 445 и других атак SMB» . Поисковая безопасность . Проверено 14 января 2022 г.
  35. ^ Шторм, Дарлин (13 апреля 2016 г.). «Крипточерви: будущее ада вымогателей» . Компьютерный мир . Проверено 14 января 2022 г.
  36. ^ Jump up to: Перейти обратно: а б с д 10. Аварийный выключатель , 20 июня 2021 г. , получено 14 января 2022 г.
  37. ^ Jump up to: Перейти обратно: а б с Аль Али, Нур (16 января 2018 г.). «Северокорейская хакерская группа замечена за криптоатакой на юге» . Bloomberg.com . Проверено 17 января 2018 г.
  38. ^ Jump up to: Перейти обратно: а б Харпал, Арджун (17 января 2018 г.). «Хакеры, поддерживаемые правительством Северной Кореи, пытаются украсть криптовалюту у южнокорейских пользователей» . CNBC . Проверено 17 января 2018 г.
  39. ^ Jump up to: Перейти обратно: а б Маскареньяс, Гиацинт (17 января 2018 г.). «Лазарь: северокорейские хакеры, связанные со взломом Sony, стояли за криптовалютными атаками в Южной Корее» . Интернэшнл Бизнес Таймс, Великобритания . Проверено 17 января 2018 г.
  40. ^ Лимитоне, Юлия (17 января 2018 г.). «Биткойн, криптовалюта, атакованная северокорейскими хакерами, говорится в отчете» . Фокс Бизнес . Проверено 17 января 2018 г.
  41. ^ Эшфорд, Уорик (17 января 2018 г.). «Северокорейские хакеры связаны с криптовалютными атаками в Южной Корее» . Компьютерный еженедельник . Проверено 17 января 2018 г.
  42. ^ «Южнокорейская криптовалютная биржа объявила о банкротстве после взлома» . «Стрейтс Таймс» . 20 декабря 2017 г. Проверено 17 января 2018 г.
  43. ^ «Биткойн-биржи стали объектом нападения северокорейских хакеров, говорят аналитики» . МСН Деньги . 21 декабря 2017 г. Архивировано из оригинала 18 января 2018 г. Проверено 17 января 2018 г.
  44. ^ «Обновление расследования нарушений безопасности NiceHash – NiceHash» . НайсХэш . Проверено 13 ноября 2018 г.
  45. ^ Jump up to: Перейти обратно: а б Фольц (16 сентября 2019 г.). «США рассматривают хакерство Северной Кореи как угрозу национальной безопасности» . МСН . Проверено 16 сентября 2019 г.
  46. ^ Стаббс, Джек (27 ноября 2020 г.). «Эксклюзив: подозреваемые северокорейские хакеры атаковали производителя вакцины против COVID AstraZeneca – источники» . Рейтер .
  47. ^ Jump up to: Перейти обратно: а б Ньюман, Лили Хэй. «Северная Корея преследует и обманывает множество профессионалов в области кибербезопасности» . Проводной . ISSN   1059-1028 . Проверено 17 марта 2023 г.
  48. ^ Jump up to: Перейти обратно: а б «Новая кампания, нацеленная на исследователей безопасности» . Google . 25 января 2021 г. Проверено 13 марта 2023 г.
  49. ^ Jump up to: Перейти обратно: а б Разведка, Центр анализа угроз Microsoft (MSTIC), угроза Microsoft Defender (28 января 2021 г.). «Атаки ZINC на исследователей безопасности» . Блог Microsoft по безопасности . Проверено 13 марта 2023 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  50. ^ Jump up to: Перейти обратно: а б «Связанная с Северной Кореей группа Lazarus несет ответственность за почти 20% потерь криптовалюты — на сумму более 300 миллионов долларов — в 2023 году» . Фортуна Крипто . Проверено 15 декабря 2023 г.
  51. ^ «Северокорейские хакеры нацелены на геймеров в ограблении криптовалюты на сумму 615 миллионов долларов — США» . Новости Би-би-си . 15 апреля 2022 г. Проверено 15 апреля 2022 г.
  52. ^ «ФБР подтверждает, что киберпреступники группы Lazarus ответственны за кражу валюты Harmony Horizon Bridge» . Федеральное бюро расследований . Проверено 22 марта 2023 г.
  53. ^ Саттер, Рафаэль (13 июня 2023 г.). «Северокорейские хакеры украли 100 миллионов долларов в ходе недавнего ограбления криптовалюты, говорят аналитики» . Рейтер . Проверено 5 декабря 2023 г.
  54. ^ «ФБР выявило криптовалютные фонды, украденные КНДР» . ФБР . 22 августа 2023 г.
  55. ^ «ФБР идентифицирует киберпреступников Lazarus Group как ответственных за кражу 41 миллиона долларов со Stake.com» . ФБР . 6 сентября 2023 г.
  56. ^ «Обновление обозначения Северной Кореи» . Министерство финансов США . Проверено 15 апреля 2022 г.
  57. ^ «Как едва связанная Северная Корея стала хакерской сверхдержавой» . Южно-Китайская Морнинг Пост . 1 февраля 2018 года . Проверено 10 октября 2021 г.
  58. ^ EST, Джейсон Мердок, 09.03.18, 9:54 (09.03.2018). «Пока Трамп заигрывает с Ким Чен Ыном, северокорейские хакеры атакуют крупные банки» . Newsweek . Проверено 16 августа 2019 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  59. ^ Jump up to: Перейти обратно: а б с д и «Министерство финансов вводит санкции против спонсируемых государством вредоносных кибергруппировок Северной Кореи» . Министерство финансов США . 2019.
  60. ^ Jump up to: Перейти обратно: а б с д и ж Координационный центр кибербезопасности сектора здравоохранения (HC3) (2021 г.). «Киберактивность Северной Кореи» (PDF) . Министерство здравоохранения и социальных служб США . {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  61. ^ Мейерс, Адам (06 апреля 2018 г.). «STARDUST CHOLLIMA | Профиль злоумышленника | CrowdStrike» . Проверено 16 августа 2019 г.
  62. ^ Дополнительный доход Lazarus APT связан с банковскими хакерами | угрозпост
  63. ^ Jump up to: Перейти обратно: а б с «Северокорейская тактика» (PDF) . Федерация американских ученых . Армия США. 2020. стр. Д-1, Д-2.
  64. ^ «FASTCash 2.0: Северокорейские BeagleBoyz грабят банки | CISA» .
  65. ^ Альперович, Дмитрий (19 декабря 2014 г.). «ФБР обвиняет Северную Корею в разрушительных атаках» . Проверено 16 августа 2019 г.
  66. ^ Сан-Хун, Чхве (10 октября 2017 г.). «Северокорейские хакеры украли военные планы США и Южной Кореи, говорит законодатель» . Нью-Йорк Таймс . ISSN   0362-4331 . Проверено 16 августа 2019 г.
  67. ^ Хасс, Дариен. «Северную Корею укусила биткойн-ошибка» (PDF) . доказательство.com . Проверено 16 августа 2019 г.
  68. ^ Чимпану, Каталин (17 февраля 2021 г.). «США предъявили обвинения еще двум членам северокорейской хакерской группы «Лазарь»» . ЗДНет . Проверено 20 февраля 2021 г.
  69. ^ «Три северокорейских военных хакера обвинены в широкомасштабной схеме совершения кибератак и финансовых преступлений по всему миру» . Министерство юстиции США . 17 февраля 2021 года. Архивировано из оригинала 8 апреля 2023 года.

Источники [ править ]

  • Вирусные новости (2016). «Лаборатория Касперского помогла сорвать деятельность группы Lazarus, ответственной за многочисленные разрушительные кибератаки», «Лаборатория Касперского» .
  • РБС (2014). «Анализ и анализ взлома Sony в декабре 2014 года». Безопасность, основанная на рисках.
  • Кэмерон, Делл (2016). «Исследователи безопасности говорят, что загадочная группа Lazarus взломала Sony в 2014 году», The Daily Dot.
  • Зеттер, Ким (2014). «Sony сильно взломали: что мы знаем и чего не знаем», Wired.
  • Зеттер, Ким (2016). «Хакеры Sony устроили хаос за годы до того, как напали на компанию», Wired.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Lazarus_Group&oldid=1230075245"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1f87b896f02f05166be2e90ac1170940__1718880180
URL1:https://arc.ask3.ru/arc/aa/1f/40/1f87b896f02f05166be2e90ac1170940.html
Заголовок, (Title) документа по адресу, URL1:
Lazarus Group - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)