Korea Północna powróciła na pierwsze strony gazet z cyberbezpieczeństwem ze względu na swoje powiązania z Grupą Lazarus, gdy przeprowadza kolejny udany cybernapad. Tym razem niesławna Lazarus Group – wysoce podejrzana północnokoreańska grupa hakerów sponsorowana przez państwo, założona w latach 2007-2009 – ukradła kryptowalutę Harmony o wartości 100 milionów dolarów.
Wierzcie lub nie, to nie jest najsłynniejszy napad tej tajemniczej grupy, ponieważ była ona już zamieszana w ataki na Sony i wirusy, takie jak WannaCry. Dlaczego więc Grupa Lazarus odnosi taki sukces? Dowiedzmy się poniżej.
Grupa Łazarz: jak niebezpieczna jest?
Bezpieczeństwo komputerowe staje się w ostatnich latach jedną z najbardziej kontrowersyjnych dziedzin. Coraz częściej podłączamy urządzenia, ale niewiele dbamy o ich ochronę. I dzieje się tak nie tylko z użytkownikami, ale także z firmami. Dlatego ataki stają się coraz częstsze i coraz potężniejsze.
Wśród organizacji atakujących korporacje, wśród hakerów szczególne znaczenie zyskała nazwa Lazarus (czasami określana jako DarkSeoul, Guardians of Peace i Hidden Cobra).
Ta tajemnicza grupa hakerów stoi za niektórymi z najbardziej udanych i destrukcyjnych ataków komputerowych ostatnich lat. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), NSA i FBI umieszczają tę grupę wysoko na liście podmiotów niebezpiecznych dla bezpieczeństwa narodowego. A niewiele o nich wiadomo, że członkowie prawdopodobnie mają siedzibę w Korei Północnej, najbardziej odizolowanym kraju na świecie.
Jakie są niektóre z najbardziej niesławnych ataków Grupy Lazarus?
Jego pierwszy atak był znany jako „Operacja Płomień”. Został on przeprowadzony w 2007 roku i wykorzystywał szkodliwe oprogramowanie pierwszej generacji przeciwko rządowi Korei Południowej. Potem nastąpiła „Operacja Troy”, która miała miejsce w latach 2009-2012. Te dwa ataki miały podstawową złożoność; grupa usunęła witryny rządu Korei Południowej, zalewając ich serwery żądaniami.
W marcu 2011 roku grupa wypuściła „Dziesięć dni deszczu”, która okazała się bardziej wyrafinowana Atak DDoS który był skierowany do mediów, infrastruktury finansowej i krytycznej w Korei Południowej. Infrastruktura krytyczna zawsze była ulubionym celem dla hakerów ze względu na jego znaczenie w codziennych czynnościach.
Atak Sony Pictures
Niesławny atak na Sony Pictures miał miejsce w 2014 roku, co przeniosło grupę na światową scenę. Przez pewien czas atak ten był uważany za jeden z największych w historii cyberprzestępczości.
Podczas ataku Grupa Lazarus wykradła z firmy poufne informacje, które zostały ujawnione poufna korespondencja między poziomami reżyserii, produkcji i aktorstwa, a nawet wyciekła niewydane filmy. Ataki rozpoczęły się w odwecie za wydanie filmu „Wywiad”, który w głupi sposób przedstawia Kim Dzong-un.
Ataki na banki i kryptowaluty
W 2015 r. Grupa Lazarus zaczęła również atakować banki na całym świecie, w tym w Ekwadorze i Wietnamie. Były to Banco del Austro i Tien Phong Bank. Ponadto próbował również atakować banki w Polsce, Chile i Meksyku. W 2016 roku ataki na banki grupy stały się bardziej wyrafinowane, a nawet udało im się ukraść 81 milionów dolarów z Banku Bangladeszu. W 2017 roku próbował również ukraść 60 milionów dolarów z tajwańskiego banku.
Teraz Grupa Lazarus koncentruje się na atakach kryptowalutowych. Najbardziej znaczący atak dotknął południowokoreańskich właścicieli Bitcoina i Monero; właśnie dlatego grupa zdecydowała się ukraść kryptowalutę Harmony.
Czy grupa Lazarus składa się z hakerów z Korei Północnej?
Chociaż nigdy nie zostało to udowodnione, jak w przypadku większości cyberataków, eksperci są przekonani, że grupa działa przy wsparciu finansowym i na prośbę rządu Korei Północnej. To by tłumaczyło ataki Sony Pictures i jego ciągłą fiksację na atakowanie infrastruktury i instytucji Korei Południowej.
Prawda jest taka, że niewiele wiemy o grupie. Nie wiadomo, czy są to północnokoreańskie cyber żołnierze lub po prostu międzynarodowi hakerzy wynajęci przez Koreę Północną; w każdym razie tożsamość członków grupy jest anonimowa, choć jedno jest pewne, pracują jako bardzo skuteczny zespół.
Istnieje nawet teoria, że grupa nie ma nic wspólnego z Koreą Północną i że jest to po prostu sposób na odwrócenie uwagi od jej naturalnego pochodzenia. W każdym razie jest mało prawdopodobne, aby USA i Wielka Brytania obwiniały Koreę Północną za działania grupy w przeszłości.
Jak atakuje Grupa Łazarza?
Ataki Lazarus Group przeszły od prymitywnych do wyrafinowanych, od atakowania i zadawania obrażeń do uzyskiwania jak największych korzyści z każdej akcji. Chociaż grupa zaczęła w bardzo amatorski sposób przeciwko Korei Południowej, stała się bardzo profesjonalną i niebezpieczną organizacją z bardziej konkretnymi celami finansowymi.
NSA, FBI, a nawet rosyjska firma Kaspersky Labs zajmująca się cyberbezpieczeństwem, zbadały ataki finansowe i sposób działania tej grupy. Hakerzy zwykle narażają jeden system w banku, skąd infiltrują całą organizację.
Po początkowej infekcji grupa spędziła kilka tygodni na badaniu systemów docelowych, co jest standardową taktyką w cyberwojnie (USCYBERCOM działa podobnie). Gdy grupa doskonale zmapowała docelową organizację i zebrała wystarczającą ilość danych, zaczęła kraść pieniądze.
Chociaż ataki bankowe tej grupy są najbardziej znane, hakerzy atakują również kasyna, firmy zajmujące się kryptowalutami i firmy inwestycyjne. Niektóre z jej ulubionych krajów docelowych to Korea Południowa, Meksyk, Kostaryka, Brazylia, Urugwaj, Chile, Polska, Indie i Tajlandia.
Z powodu głodu, sankcji i nieudanej polityki gospodarczej, waluta Korei Północnej stale spadała w ciągu ostatnich dziesięcioleci. Podczas gdy Kim Dzong-il (ojciec obecnego przywódcy, Kim Dzong-un) skupił się na przetrzymywaniu świata dla okupu poprzez ataki i groźby uzyskać międzynarodową pomoc i złagodzić sankcje, jego syn wolał przekierować północnokoreańską armię i ludność, aby generować dochody z za granicą.
To pomaga Korei Północnej w zdobywaniu obcej waluty w celu wsparcia badań i rozwoju w zakresie wojska i broni masowego rażenia oraz, w pewnym sensie, wzmocnienia jej waluty i gospodarki. Istnieje wiele sposobów, w jakie Kim Dzong Un uzyskuje dochód z zagranicy; na przykład wynajmuje Koreańczyków z Północy jako tanią siłę roboczą, wysyła za granicę lekarzy i doradców wojskowych za granicę, sprzedaje broń i wykorzystuje hakerów do kradzieży pieniędzy.
Początkowo armia hakerska Korei Północnej (jak czasem określa się tę grupę) prowadziła głównie destrukcyjne operacje przeciwko wrogom państwa. Ale kiedy Kim Jong-il zmarł w 2011 roku, Kim Jong-un zmienił politykę, a teraz hakerzy skupili się głównie na rabowaniu banków i tworzeniu wirusów ransomware. Dlatego do 2011 r. Grupa Lazarus nadal atakowała witryny i infrastrukturę rządu Korei Południowej.
Czy to może być dopiero początek?
Grupa Lazarus przekształciła się z grupy amatorskiej w dobrze finansowaną i kompetentną, sponsorowaną przez państwo grupę hakerską. Od momentu powstania ataki grupy stały się coraz bardziej niszczycielskie i złożone, i jak dotąd nikt nie był w stanie ich prześladować. Bez reperkusji i ochrony państwa północnokoreańskiego wydaje się, że ta grupa ma tylko potencjał do rozwoju i stania się jeszcze bardziej niebezpieczna, ale tylko czas pokaże.
