Lazarus APT

קבוצת לזרוס, הידועה גם בשמות Whois Team או Guardians of Peace, היא קבוצה של פושעי סייבר המורכבת ממספר בלתי מוגדר של פרטים. הם היו בתחילה קבוצה של פושעים, אך בשל אופיים, השיטות והאיום המיועד שלהם ברשת, הם סווגו כאיום מתמשך מתקדם. לקהילת אבטחת הסייבר יש אותם בשמות אחרים, כמו אבץ ו- HIDDEN COBRA .

המקרה הקדום ביותר של מתקפת APT של לזרוס היה 'מבצע טרויה', שהתרחש בין 2009 ל-2012. הקמפיין התמקד במתקפת מניעת שירות מבוזרת (DDoS) שעשתה יריות על ממשלת דרום קוריאה בסיאול. הם היו אחראים להתקפות ב-2011 וב-2013, אולי גם למתקפה נגד דרום קוריאה ב-2007. צוין שהם היו מעורבים במתקפה של סוני פיקצ'רס ב-2014, והראו תחכום ומיומנות הולכים וגדלים בשיטות שלהם.

ה-Lazarus APT היה מעורב גם בגניבה של 12 מיליון דולר מבנקו דל אוסטרו באקוודור ומיליון דולר מבנק טיאן פונג בווייטנאם. הקבוצה פנתה גם לבנקים במקסיקו ופולין, בנגלדש וטייוואן.

לא ידוע מי עומד מאחורי הקבוצה, אך בחירת המטרות שלהם הובילה את קהילת הביטחון לחשוד שהם ככל הנראה ממוצא צפון קוריאני. ה-Lazarus APT התמקד בריגול והתקפות הסתננות, בעוד שקבוצה אחרת בארגון שלהם התמקדה במתקפות סייבר פיננסיות. נוצר קישור ישיר של כתובת IP חוזרת ונשנית בין אותו חלק של הארגון לצפון קוריאה, אם כי כמה חוקרים האמינו שזו עשויה להיות טקטיקה מטעה להעלים חקירות מהמסלול.

מאמינים כי ל-Lazarus APT יש שתי יחידות במבנה הארגון:

BlueNorOff

זו הזרוע הפיננסית של הקבוצה האחראית על העברות כספים לא חוקיות, לרוב באמצעות זיוף הזמנות מסוויפט. הם גם כונו APT38 ו-Stardust Chollima על ידי חברות וארגונים אחרים בתחום אבטחת הסייבר.

ואריאל

ידוע בהתקפות המתמקדות במטרות דרום קוריאניות, אנדריאל מכונה גם Silent Chollima בשל אופיים החשאי והנמוך יותר, בהשוואה למקבילם לפשעי הסייבר הבנקאיים. ארגונים בדרום קוריאה היו ממוקדים לעתים קרובות בהיסטוריה של לזרוס APT, כאשר מטרות ההגנה, הממשל והכלכלה היו המוקד העיקרי שלהם.