Шахрайства та взломи

Ключові висновки

• Група Лазарус - це команда хакерів, підтримувана державою Північної Кореї, відповідальна за кіберграбежі на мільярди доларів. Їх операції фінансують ракетні та ядерні програми країни.
• Lazarus використовує власне шкідливе програмне забезпечення, вразливості нульового дня та кампанії spear-phishing для порушення фінансових установ, криптовалютних бірж та урядових установ.
• Відомі атаки включають в себе втечу з $1.5 мільярда від Bybit (2025), порушення Ronin Bridge на $625 мільйонів (2022) та пограбування Бангладеського банку на $101 мільйон (2016).
• Група використовує відволікання, задні двері, антифорензичні техніки та витирачі, щоб приховати свої сліди та забезпечити довгостроковий доступ до компрометованих мереж.

Кібератака на криптобіржу Bybit 21 лютого 2025 року знову привернула увагу до печально відомої групи Лазарус, яка "прославилася" серією руйнівних атак на криптобізнеси. З початку 2017 року група Лазарус вкрала приблизно 6 мільярдів доларів з криптовалютної індустрії,згіднофірмі з аналітики блокчейну Elliptic. Не даремно Лазар отримав титул суперзлочинця в криптосвіті.

Як одна з найбільш продуктивних кіберзлочинних організацій в історії, Група Лазарус використовуєвисокорівневі тактики взломуі часто білі командири з числа білого комірця, що свідчить про повну підтримку держави.

Це ставить критичні питання про Групу Лазар, їх виконання складного атаки Bybit та інших подібних взломів, а також про те, як криптовалютні організації можуть боротися з цією зростаючою загрозою. У цій статті досліджуються ці питання та інше.

Походження та історія групи Лазарус

Група Лазарева - це відомий загрозливий актор з Північної Кореї або Північно-Корейської Народно-Демократичної Республіки, відомий своєю кібершпигунством та відведенням грошей.

Активний з 2009 року, він пов'язаний з Розвідувальним Головним Управлінням (RGB) уряду Північної Кореї, основною розвідувальною агентурою країни. Група постійної загрози (APT) відома тим, що проводить складні крос-платформені атаки на фінансові установи,криптовалютні біржі, кінцеві точки системи SWIFT, казино та банкомати по всьому світу.

Зв'язок групи з розвідувальною агентурою країни свідчить про державне спонсорство. Хакери отримують державне патронат для своїх злочинних дій, що означає, що вони можуть працювати без страху перед місцевим правоохоронними органами. Їх діяльність спрямована не лише на збір розвідувальної інформації, а й на забезпечення коштів для ракетних та ядерних програм країни.

Федеральне бюро розслідувань США (FBI) називає групу Лазаруса "організацією, яку фінансує держава" Північної Кореї. Втікач з Північної Кореї Кім Кук-сонг розкрив, що внутрішньо ця одиниця відома як 414 Ліазонний офіс в Північній Кореї.

Протягом років група Лазарус значно підвищила складність та ефективність своїх тактик, а також масштаб своєї діяльності.

Чи ви знали? Компанія Microsoft Threat Intelligence ідентифікувала команду хакерів, відому як "Сапфіровий Холод", як північнокорейську загрозу, яка активно займається крадіжкою криптовалют та корпоративною інфільтрацією. Термін "холод" вказує на зв'язки групи з Північною Кореєю.

Як працює група Лазарус?

Завдяки спонсоруванню держави, група Лазарус має ресурси та експертизу, щобвиконувати складні кібератакиВиконує багаторівневі операції, які включають розробку та розгортання власного шкідливого програмного забезпечення та експлуатацію вразливостей нульового дня. Термін "вразливість нульового дня" вказує на вразливість безпеки в програмному або апаратному забезпеченні, яка не відома розробнику. Це означає, що для цього не існує жодного виправлення або підготовки.

Однією з відзначних рис групи Лазарус є створення індивідуального шкідливого програмного забезпечення, такого як MagicRAT та QuiteRAT, призначеного для інфільтрації та контролю цільових систем. Вони також відомі використанням раніше невідомих уразливостей безпеки для проникнення в системи до виходу виправлень.

Соціальна інженерія - ще один критичний компонент їх стратегії. Це про те, як хакери використовують емоції, щоб обдурити користувачів та переконати їх виконати певну дію, наприклад, поділитися важливими даними. Група Лазарус веде кільчасті атаці...кампанії з рибалки, які надсилають шахрайські електронні листи недопізнаним особам, видаючи себе за їх мережу, щоб змусити їх розкрити конфіденційну інформацію.

Їхнійадаптивність та еволюційні технікизробити групу Лазарус постійною та великою загрозою в глобальному кібербезпеці

Найбільші пограбування групою Лазарус

Протягом років було безліч кібератак, у яких брали участь група Лазарус. Ось деякі значущі крадіжки, вчинені групою:

Криптовалютні крадіжки

1. Bybit (Лютий 2025)

Bybit, криптовалютна біржа заснована в Дубаї,потерпів велике порушення безпеки, втративши $1.5 мільярда цифрових активів у лютому 2025 року, зробивши його найбільш важливим криптовалютним пограбуванням на сьогоднішній день.

Атака була спрямована на інтерфейс SafeWallet, який використовували керівники Bybit для виконання шахрайських операцій. Викрадені кошти, переважно в Ether, були швидко розподілені по різних гаманцях іліквідовано через різні платформи. Генеральний директор Bybit, Бен Чжоу, заспокоїв користувачів, що інші холодні гаманці залишаються безпечними, і виведення коштів працює нормально.

Компанії з аналізу блокчейну, зокрема Elliptic та Arkham Intelligence, відстежили викрадені активи та пізніше віднесли атаку до підтриманої державою Північної Кореї групи Lazarus. Порушення спричинило хвилю виведення коштів з Bybit, що призвело до того, що біржа забезпечила містковий кредит для покриття збитків.

2. WazirX (липень 2024)

У липні 2024 року WazirX, найбільша криптовалютна біржа Індії, постраждала від значного порушення безпеки, в результаті чого було втрачено приблизно 234,9 мільйона доларів у цифрових активах. Атака, що була приписана Лазарус Групі Північної Кореї, включала високотехнологічні техніки рибальства та експлуатації API.

Хакери маніпулювали багатопідписовою системою гаманця WazirX, отримуючи несанкціонований доступ до гарячих і холодних гаманців. Цей порушення призвело до призупинення торговельних операцій і спровокувало правові виклики, зокрема позов від конкурентної біржі CoinSwitch, яка намагається відновити $9.65 мільйонів застряглих коштів.

У січні 2025 року Сінгапурський Вищий Суд схвалив план реструктуризації WazirX, що дозволив компанії зустрітися з кредиторами для обговорення стратегій відновлення активів.

3. Stake.com (Вересень 2023)

У вересні 2023 року група порушила Stake.com, платформу для криптовалютних ставок, отримавши й використовуючи вкрадені дані.приватні ключі. Це дозволило їм відкачати $41 мільйонів по різних мережах блокчейну.

Американське ФБРприписуєтьсяце крадіжка Групі Лазаруса, відомій також як APT38. Викрадені активи були відстежені по різних мережах блокчейн, включаючи Ethereum, BNB Smart Chain та Polygon.

4. CoinEx (Вересень 2023)

У вересні 2023 року CoinEx, глобальна криптовалютна біржа, повідомила про несанкціоновані транзакції, внаслідок яких зазнала збитки, оцінені в розмірі 54 мільйони доларів.

Дослідження блокчейн-аналітиків, включаючи аналітика ZachXBT націлених на аналіз ланцюжка блоків,виявлені зразки гаманця та поведінка на ланцюжкуПосилання це порушення до попереднього взлому Stake.com, вказуючи на координовані зусилля групи Лазарус.

5. CoinsPaid and Alphapo (липень 2023)

22 липня 2023 року CoinsPaid відчув метічно спланований кібератаку, що призвело до крадіжки 37,3 мільйонів доларів. Атакувальники застосували стратегію, яка включала хабарництво та фальшиві кампанії з найму, спрямовані на критичний персонал компанії протягом місяців перед порушенням.

Під час нападу було зафіксовано надзвичайний скачок активності мережі, в якому було задіяно понад 150 000 різних IP-адрес. Незважаючи на значні фінансові втрати, внутрішня команда CoinsPaid працювала наполегливо, щоб зміцнити свої системи, забезпечуючи, що кошти клієнтів залишалися невраженими і повністю доступними.

У той же день, Alphapo, централізований постачальник криптовалютних платежів для різних онлайн-платформ, постраждав від порушення безпеки 23 липня 2023 року. Початкові звіти оцінили збитки приблизно в $23 мільйони; проте подальші розслідування показали, що загальна сума вкраденого перевищила $60 мільйонів. Аналітики блокчейну приписали цей напад групі Лазарус, зауважуючи, що вкрадені кошти відстежили на кількох адресах та ланцюгах.

6. Міст Гармонія Горизонт (червень 2022)

Група Лазарус використовувала вразливості в Горизонтальному мосту Гармонії в червні 2022 року. Шляхом соціальної інженерії та компрометації багатопідписних гаманців вони зникли з $100 мільйонів, підкреслюючи ризики, пов'язані з міжланцюжковими мостами (сприяючи переказам активів між мережами, такими як Ethereum, Bitcoin та BNB Smart Chain).

Атакувальники використовували вразливості безпеки, набувши контроль над багатопідписовим гаманцем, який використовувався для авторизації транзакцій. Це порушення дозволило їм відтерти приблизно 100 мільйонів доларів у різних криптовалютах. Викрадені активи промивалися через змішувач Tornado Cash, ускладнюючи зусилля з відстеження. Elliptic була однією з перших, хто причетний до цієї атаки на групу Лазарус, оцінка, пізніше підтверджена ФБР у січні 2023 року.

7. Міст Ронін (березень 2022)

У березні 2022 року міст Ронін, крос-ланцюговий містпідтримка гри Axie Infinity,потерпів значне порушення безпекив руках групи Лазарус, що призвело до крадіжки приблизно 625 мільйонів доларів у криптовалюті.

Мережа Ронін працювала з дев'ятьма валідаторами, для схвалення транзакцій потрібно було як мінімум п'ять підписів. Атакуючі змогли отримати контроль над п'ятьма приватними ключами, що дозволило їм затверджувати несанкціоновані виведення.

Хакери заманили працівника Sky Mavis фальшивою пропозицією роботи, надіславши PDF-файл із вірусом, який збентежив внутрішні системи компанії. Цей доступ дозволив атакувальникам рухатися по мережі горизонтально, захопивши контроль над чотирма валідаторами, які експлуатувалися Sky Mavis, і ще одним валідатором, керованим AxieDAO (децентралізована автономна організація).

Група поєднала соціальну інженерію з технічною майстерністю для виконання вторгнення в міст Ронін.

8. Atomic Wallet (2022)

Протягом 2022 року користувачі Atomic Wallet, децентралізованої програми для зберігання криптовалюти, стали жертвами серії атак, організованих групою Лазарус.

Хакери використовували власне шкідливе програмне забезпечення для компрометації окремих гаманців, що призвело до збитків, що оцінюються від $35 мільйонів до $100 мільйонів. Elliptic пов'язав ці порушення з групою Лазар, відслідковуючи рух викрадених коштів та ідентифікацію схем відмивання, які узгоджуються з попередніми діями групи.

9. Бітхамб Ексчендж (липень 2017)

У липні 2017 року група Лазарус виконала атаку спір-фішингу на Bithumb, одну з найбільших криптовалютних бірж Південної Кореї.

Проникнувши во внутрішні системи біржі, вони змогли викрасти приблизно 7 мільйонів доларів у криптовалютах. Цей інцидент став одним з ранніх і важливих проникнень групи в стрімко розвиваючуся галузь цифрових активів.

10. Біржа Youbit (квітень та грудень 2017 року)

Група Лазарус провела два значущі напади на біржу Youbit Південної Кореї в 2017 році. Перший напад у квітні включав використання шкідливих програм та методів рибальства, що підірвали безпеку біржі і призвели до значних втрат активів.

Після подальшого нападу у грудні втратили 17% загальних активів Youbit. Фінансове напруження від цих послідовних порушень змусило біржу звернутися до банкрутства, підкреслюючи серйозний вплив кібердіяльності групи на цифрові платформи активів.

Чи ви знали? Північна Корея розгортає тисячі ІТ-спеціалістів по всьому світу, у тому числі в Росії та Китаї, для генерації прибутку. Вони використовують створені штучним інтелектом профілі та вкрадені ідентичності, щоб забезпечити собі прибуткові технічні посади, що дозволяє їм красти інтелектуальну власність, шантажувати роботодавців та переказувати кошти уряду.

Інші великі погроми

1. WannaCry (травень 2017)

The WannaCryатака вимагання викупубув масштабним кібербезпековим інцидентом, який поширився на організації по всьому світу. 12 травня 2017 року черв'як-вимагач вірусу WannaCry інфікував понад 200 000 комп'ютерів у понад 150 країнах. Серед головних жертв були FedEx, Honda, Nissan та Національна служба охорони здоров'я Великої Британії (NHS), яка змушена була перенаправляти карети швидкої допомоги через порушення в роботі системи.

Дослідник з безпеки виявив «вимикач» для тимчасового припинення атаки. Але багато систем залишилися заблокованими, поки жертви не сплатили викуп або не знайшли спосіб відновити свої дані. WannaCry використовував вразливість під назвою «EternalBlue», вразливість, спочатку розроблена Агентством національної безпеки США (NSA).

Цей експлойт був пізніше викрадений і оприлюднений Shadow Brokers. WannaCry в основному націлені на старі, не оновлені системи Microsoft Windows, що дозволило йому швидко поширитися та завдати широкого шкоди. Атака підкреслила критичну потребу в регулярних оновленнях програмного забезпечення та кібербезпеці.

2. Бангладеський банк (лютий 2016)

У лютому 2016 року Бангладеський банк став жертвою значного кібернетичного пограбування, під час якого зловмисники намагалися вкрасти майже 1 мільярд доларів з його рахунку в Федеральному резервному банку Нью-Йорка. Злочинці, пізніше визначені як група Лазарус, проникли в системи банку в січні 2015 року через шкідливий файл в електронному листі. Вони вивчали роботу банку, врешті-решт ініціюючи 35 шахрайських запитів на переказ через мережу SWIFT.

Хоча більшість були заблоковані, п'ять транзакцій на суму 101 мільйон доларів були успішними, з 81 мільйоном доларів, що надійшли на рахунки на Філіппінах. Одна орфографічна помилка в одному запиті на переказ викликала підозри, завадивши повному пограбуванню.

3. Sony Pictures (листопад 2014)

У листопаді 2014 року Sony Pictures Entertainment зазнала значного кібератаки, виконаної Гвардією миру, яка мала зв'язки з групою Лазарус. Зловмисники проникли в мережу Sony, отримавши доступ до великої кількості конфіденційних даних, включаючи невипущені фільми, чутливу інформацію про співробітників та внутрішні комунікації.

Група також використовувала шкідливе ПЗ, що призвело до неробочості приблизно 70% комп'ютерів Sony. Фінансові збитки від порушення були значними, оскільки Sony повідомила про втрати у розмірі 15 мільйонів доларів, хоча інші оцінки вказують на те, що витрати на відновлення могли перевищити 85 мільйонів доларів.

Мотивацією за напад була помста за запланований випуск фільму «Інтерв'ю», комедії, що зображує убивство лідера Північної Кореї Кім Чен Іна.

Незважаючи на відмову Північної Кореї від причетності, уряд США офіційно приписав атаку північнокорейським загрозливим акторам, висвітлюючи здатність групи Лазарус виконувати складні кібероперації зі значущими геополітичними наслідками.

Чи ви знали? У серпні 2024 року ZachXBT розкрив, що 21 північнокорейських розробників проникли в криптостартапи, заробляючи $500,000 щомісяця.

FBI виявило ключових хакерів групи Лазарус, які стояли за масштабними кібератаками

ФБР публічно ідентифікувало трьох підозрюваних корейських хакерів як членів групи Лазарус.

У вересні 2018 року ФБР звинуватило Пак Чжин Хе, громадянина Північної Кореї, пов'язаного з Лазарусом, у його припущеній ролі в серйозних кібератаках. Пак, який, як повідомляється, працював на спільне підприємство Чосон Експо, фронтову компанію Північної Кореї, був пов'язаний з кібератакою на Sony Pictures у 2014 році та пограбуванням Банку Бангладеш у 2016 році, де було викрадено 81 мільйон доларів.

ФБР також звинуватило Парка у зв'язку з кібератакою вірусом-вимагачем WannaCry 2.0 2017 року, яка налагоджувала роботу лікарень, включаючи Національну службу охорони здоров'я Великої Британії. Слідчі виявили його та його спільників за спільним кодом шкідливих програм, вкраденими обліковими даними та проксі-сервісами, що приховували IP-адреси Північної Кореї та Китаю.

У лютому 2021 року Мін'юст США вирішив звинуватити Джона Чан Хьока та Кім Іль у їх участі в глобальних кіберзлочинах. Джон розробляв і поширював шкідливі криптододатки для проникнення в фінансові установи, тоді як Кім координував поширення шкідливих програм, криптовалютні крадіжки та шахрайські ініціативи з випуску морських ланцюгів.

Звичайні тактики, використовувані групою Лазарус

Група Лазарус використовує кілька вишуканих тактик для здійснення кібератак, включаючи розпорошення, відволікання, антифорензіку та техніки захисту:

Розлад

Лазарус проводить деструктивні атаки за допомогоюрозподілений заперечення обслуговування (DDoS)і відгин малware з тригерами на основі часу. Наприклад, троян KILLMBR стирає дані на цільовій системі на заздалегідь встановлену дату, тоді як QDDOS, зловмисне програмне забезпечення, стирає файли після інфікування. Ще один інструмент, DESTOVER, функціонує як задня двері, але має також можливості стирання. Ці тактики спрямовані на паралізацію систем і роблять їх неробочими.

Перенаправлення

Щоб замаскувати свою участь, Лазарус маскує деякі напади під діяльність вигаданих груп, таких як "GOP," "WhoAmI" та "New Romanic Army." Ці групи заявляють про відповідальність за напад, тоді як Лазарус є гравцем у грі. Вони можуть зіпсовувати веб-сайти деякою пропагандою. Лазарус також вбудовує хибні прапорці у свій шкідливий програмний засіб, наприклад, використовуючи романізовані російські слова у задній дверці KLIPOD.

Задні входи

Лазарус розраховує на задні двері для постійного доступу до порушених систем, розгортаючи інструменти, такі як задня двері Manuscrypt (NukeSped) у кампаніях з рибальства та імплантати BLINDINGCAN та COPPERHEDGE проти об'єктів оборони.

Антифорензичні техніки

Для того щоб приховати свої сліди, Лазарус використовує кілька анти-форензичних технік:

• Розділення компонентів: Під час операцій, пов'язаних із підгрупою Bluenoroff Лазарус, він роз'єднує компоненти шкідливого ПЗ для ускладнення аналізу.
• Інструменти командного рядка: Багато атак ґрунтуються на задніх входах командного рядка та інсталяторах, що потребують конкретних аргументів. Наприклад, інсталятор фреймворку Nestegg вимагає пароль як аргумент.
• Wipers: Лазарус використовує вайпери, щоб стерти сліди нападу після завершення операції. Зразки DESTOVER були помічені в деяких операціях Bluenoroff.
• Видалення журналу та запис: Лазар видаляє дані попереднього завантаження, журнали подій та записи таблиці майстрів файлів (MFT), щоб видалити сліди форензичних досліджень.

Поєднуючи ці техніки, Лазарус ефективно руйнує цілі, вводить в оману зусилля з встановлення авторства та приховує свою діяльність.

Як захиститися від атак групи Лазарус

Захист від загроз, які становить група Лазарус, потребує комплексної стратегії безпеки. Організації повинні впровадити кілька рівнів захисту, щоб захистити свої цифрові активи від складних кібератак.

Ключові оборонні заходи, які вам потрібно прийняти, включають:

• Захист від DDoS: Організації повинні впроваджувати надійні стратегії пом'якшення для запобігання перебоїв у обслуговуванні та можливих порушень даних. Проактивне виявлення та усунення таких атак є важливим.
• Інформація про загрози: Використання інформації про загрози допомагає виявляти та реагувати на кіберзагрози, включаючи вимагання викупу та атаки DDoS. Вам потрібно бути проінформованим про еволюцію тактик, які використовує Лазарус для здійснення своїх операцій.
• Захист активів: фінансові установи, криптовалютні біржі та інші об'єкти великої вартості повинні захищати критичні цифрові активи від атак Лазаруса. Захист кінцевих точок системи SWIFT, банківських банкоматів та банківської інфраструктури є важливим.
• Постійний моніторинг загроз: Постійний моніторинг мережевої інфраструктури необхідний для виявлення та пом'якшення потенційних вторгнень. Команди з безпеки повинні забезпечити регулярне оновлення всіх систем останніми патчами для зменшення вразливостей.
• Багаторівневі рішення забезпечення безпеки: Розширені рішення забезпечення безпеки, такі як ті, що включають аналіз поведінки, машинне навчання та захист від експлойтів, підвищують захист від цілеспрямованих атак. Інструменти з інтеграцією пісочниці та захистом від вимагань викупу додають додаткові рівні безпеки.
• Захист у реальному часі: При роботі з складними атаками вам потрібен захист у реальному часі від цілеспрямованих атак. Ви повинні мати змогу виявляти цілеспрямовані атаки будь-де в мережі, використовуючи поколінневі техніки для застосування потрібної технології в потрібний час.

Проте, оскільки технології швидко розвиваються, а хакери продовжують створювати нові вектори загроз, фізичні особи та організації повинні залишатися ініціативними та постійно моніторити виникаючі загрози.

Як професор Білл Бюкенен, провідний експерт з застосованої криптографії,підкреслює, «Нам потрібно вкладати великі кошти в кібербезпеку; інакше ми йдемо у світ, захищений Джорджем Оруеллом у 1984 році, або світ, де ми стаємо рабами машини.»

Ця заява підкреслює глибокі наслідки протидії кібербезпеці та необхідність постійних інвестицій у захисні заходи.

Пам'ятайте, боротьба проти таких високотехнологічних загроз не є лише одним захистом, але постійною стратегією, що включає в себе запобігання, виявлення та швидку реакцію.

У кінцевому підсумку, захист від групи Лазарус вимагає бджілості, використання передових засобів безпеки та організаційного зобов'язання до постійного вдосконалення. Лише завдяки цим колективним зусиллям бізнеси та установи можуть захистити свої активи, зберегти довіру та залишатися на крок попереду кіберзлочинців.

Відмова від відповідальності:

1. Ця стаття перепечатана з [GateCoinTelegraph]. Усі авторські права належать оригінальному автору [Діліп Кумар Патайря]. Якщо є заперечення до цього повторного друку, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно цим займуться.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими, що належать автору і не становлять жодної інвестиційної поради.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіатування перекладених статей заборонено.