Северна Корея се завърна в заглавията с киберсигурността поради връзките си с Lazarus Group, тъй като извършва поредния си успешен кибер обир. Този път скандалната Lazarus Group – силно подозирана хакерска група, спонсорирана от севернокорейската държава, основана около 2007 до 2009 г. – открадна криптовалута Harmony на стойност 100 милиона долара.
Вярвате или не, това не е най-известният обир на тази мистериозна група, тъй като тя вече е участвала в атаки срещу Sony и вируси като WannaCry. И така, защо Lazarus Group е толкова успешна? Нека разберем по-долу.
Групата Lazarus: Колко опасна е тя?
Компютърната сигурност се превръща в една от най-противоречивите области през последните години. Имаме все повече свързани устройства, но не сме се погрижили много да ги защитим. И това не се случва само с потребителите, но и с компаниите. Затова атаките стават все по-чести и все по-мощни.
Сред организациите, които атакуват корпорации, името Lazarus (понякога наричано DarkSeoul, Guardians of Peace и Hidden Cobra) придоби особена известност сред хакерите.
Тази мистериозна група хакери стои зад някои от най-успешните и разрушителни компютърни атаки през последните години. Националният център за киберсигурност на Обединеното кралство (NCSC), NSA и ФБР поставят тази група на първо място в списъка с опасни субекти за националната сигурност. И това, което малко се знае за тях е, че членовете вероятно са базирани в Северна Корея, най-изолираната нация в света.
Кои са някои от най-скандалните атаки на Lazarus Group?
Първата му атака е известна като "Операция Пламък". То беше извършено през 2007 г. и използваше злонамерен софтуер от първо поколение срещу южнокорейското правителство. След това последва "Операция Троя", която се случи между 2009 и 2012 г. Тези две атаки бяха основни по сложност; групата свали южнокорейските правителствени уебсайтове, като наводни техните сървъри със заявки.
През март 2011 г. групата стартира "Ten Days of Rain", който се оказа по-сложен DDoS атака който беше насочен към медии, финансова и критична инфраструктура в Южна Корея. Критичната инфраструктура винаги е била любима цел за хакери поради важността му за ежедневните дейности.
Атаката на Sony Pictures
Скандалната атака срещу Sony Pictures дойде през 2014 г., която изведе групата на световната сцена. За известно време тази атака беше смятана за една от най-големите в историята на киберпрестъпността.
По време на атаката Lazarus Group открадна поверителна информация от компанията, разкрита поверителна кореспонденция между нивата на режисура, производство и актьорско майсторство и дори изтече неиздавани филми. Атаките бяха предприети като отмъщение за пускането на филма „Интервюто“, който представя Ким Чен Ун по глупав начин.
Атаки срещу банки и криптовалути
През 2015 г. Lazarus Group също започна да атакува банки по целия свят, включително Еквадор и Виетнам. Това бяха Banco del Austro и Tien Phong Bank. Освен това се опита да атакува банки в Полша, Чили и Мексико. През 2016 г. банковите атаки на групата станаха по-сложни и дори успяха да откраднат 81 милиона долара от Bank of Bangladesh. През 2017 г. също се опита да открадне 60 милиона долара от тайванска банка.
Сега Lazarus Group се фокусира върху атаките с криптовалута. Най-важната атака засегна южнокорейските собственици на Bitcoin и Monero; ето защо групата сега избра да открадне криптовалутата на Harmony.
Дали групата Lazarus се състои от севернокорейски хакери?
Въпреки че никога не е доказано, както при повечето кибератаки, експертите са много уверени, че групата работи с финансовата подкрепа и искането на севернокорейското правителство. Това би обяснило атаките на Sony Pictures и нейната постоянна фиксация върху атакуването на южнокорейска инфраструктура и институции.
Истината е, че знаем много малко за групата. Не е известно дали това са севернокорейски кибер войници или просто международни хакери, наети от Северна Корея; във всеки случай самоличността на членовете на групата е анонимна, въпреки че едно е сигурно, те работят като много ефективен екип.
Има дори теория, че групата няма нищо общо със Северна Корея и че това е просто начин да се отклони вниманието от естествения й произход. Във всеки случай е малко вероятно САЩ и Обединеното кралство да са обвинявали Северна Корея за действията на групировката в миналото.
Как атакува групата Lazarus?
Атаките на Lazarus Group преминаха от груби към сложни, от атакуване и нанасяне на щети до извличане на възможно най-голяма полза от всяко действие. Въпреки че групата започна по много аматьорски начин срещу Южна Корея, тя се превърна в много професионална и опасна организация с по-конкретни парични цели.
NSA, ФБР и дори руската фирма за киберсигурност Kaspersky Labs са разследвали финансовите атаки и начина на действие на групата. Хакерите обикновено компрометират една система в банката, откъдето продължават да проникват в цялата организация.
След първоначалното заразяване групата прекара няколко седмици в разследване на целевите системи, стандартна тактика в кибервойната (USCYBERCOM работи по подобен начин). След като групата перфектно начерта целевата организация и събра достатъчно данни, тя започна да краде пари.
Докато банковите атаки на групата са най-известните, нейните хакери атакуват и казина, бизнеси с криптовалута и инвестиционни компании. Някои от любимите му целеви страни са Южна Корея, Мексико, Коста Рика, Бразилия, Уругвай, Чили, Полша, Индия и Тайланд.
Поради глад, санкции и провалени икономически политики, валутата на Северна Корея последователно пада през последните десетилетия. Докато Ким Чен Ир (бащата на настоящия лидер Ким Чен Ун) се фокусира върху задържането на света за откуп чрез атаки и заплахи за придобиване на международна помощ и облекчаване на санкциите, синът му предпочете да пренасочи севернокорейската армия и население към генериране на доходи от в чужбина.
Това помага на Северна Корея да спечели чуждестранна валута, за да подкрепи военните си изследвания и разработки за оръжия за масово унищожение и по някакъв начин да укрепи своята валута и икономика. Има много начини, по които Ким Чен-ун генерира доходи от чужбина; например, той наема севернокорейци като евтина работна ръка, изпраща лекари и военни съветници в чужбина срещу определена цена, продава оръжия и използва хакери за кражба на пари.
Първоначално хакерската армия на Северна Корея (както понякога се нарича групата) извършваше главно разрушителни операции срещу врагове на държавата. Но когато Ким Чен Ир почина през 2011 г., Ким Чен Ун промени политиките и сега хакерите насочиха повечето си усилия към ограбване на банки и създаване на вируси за рансъмуер. Ето защо до 2011 г. Lazarus Group все още атакува южнокорейски правителствени обекти и инфраструктура.
Възможно ли е това да е само началото?
Групата Lazarus се трансформира от аматьорска група в добре финансирана и способна хакерска група, спонсорирана от държавата. От създаването си атаките на групата стават все по-опустошителни и сложни и досега никой не е успял да ги преследва. Без последствия и севернокорейска държавна защита, изглежда, че тази група има само потенциала да расте и да стане още по-опасна, но само времето ще покаже.