Lazzaro APT

Il Lazarus Group, noto anche con il nome Whois Team o Guardians of Peace, è un gruppo di criminali informatici composto da un numero indeterminato di individui. Inizialmente erano un gruppo di criminali, ma a causa della loro natura prevista, dei metodi e delle minacce sul web, sono stati classificati come minaccia persistente avanzata. La comunità della sicurezza informatica li ha sotto altri nomi, come Zinc e HIDDEN COBRA .

Il primo caso di attacco APT di Lazarus è stato "Operation Troy", che si è svolto tra il 2009 e il 2012. La campagna si è concentrata su un attacco DDoS (Distributed Denial of Service) che ha colpito il governo sudcoreano a Seoul. Sono stati responsabili di attacchi nel 2011 e 2013, forse anche un attacco contro la Corea del Sud nel 2007. È stato notato che sono stati coinvolti nell'attacco del 2014 alla Sony Pictures, mostrando una crescente raffinatezza e abilità nei loro metodi.

L'APT Lazarus è stato anche coinvolto nel furto di 12 milioni di dollari dal Banco del Austro in Ecuador e di un milione di dollari dalla banca Tien Phong in Vietnam. Il gruppo ha preso di mira anche banche in Messico e Polonia, Bangladesh e Taiwan.

Non si sa chi ci sia dietro il gruppo, ma la loro scelta degli obiettivi ha portato la comunità della sicurezza a sospettare che fossero probabilmente di origine nordcoreana. L'APT Lazarus si è concentrato su attacchi di spionaggio e infiltrazione, mentre un altro gruppo all'interno della propria organizzazione si è concentrato su attacchi informatici finanziari. È stato creato un collegamento diretto e ripetuto dell'indirizzo IP tra quella parte dell'organizzazione e la Corea del Nord, sebbene alcuni ricercatori ritenessero che potesse essere una tattica fuorviante per mandare fuori rotta le indagini.

Si ritiene che il Lazarus APT abbia due unità all'interno della struttura dell'organizzazione:

BlueNorOff

Questo è il braccio finanziario del gruppo responsabile dei trasferimenti di denaro illegali, il più delle volte attraverso la falsificazione degli ordini di Swift. Sono stati anche nominati APT38 e Stardust Chollima da altre società e organizzazioni di sicurezza informatica.

e Ariel

Noto per gli attacchi incentrati su obiettivi sudcoreani, AndAriel è anche soprannominato Silent Chollima a causa della sua natura più riservata e di basso profilo, rispetto alla controparte del crimine informatico bancario. Le organizzazioni all'interno della Corea del Sud sono state spesso prese di mira nella storia dell'APT Lazarus, con obiettivi di difesa, governo ed economici come obiettivo principale.