Lazarus APT

Группа Lazarus, также известная под названиями Whois Team или Guardians of Peace, представляет собой группу киберпреступников, состоящую из неопределенного числа лиц. Первоначально они были группой преступников, но из-за их предполагаемого характера, методов и угроз в сети они были классифицированы как постоянная угроза повышенной сложности. Сообщество кибербезопасности использует их под другими названиями, такими как Zinc и HIDDEN COBRA .

Самым ранним примером APT-атаки Lazarus была операция «Троя», проводившаяся в период с 2009 по 2012 год. Кампания была сосредоточена на распределенной атаке типа «отказ в обслуживании» (DDoS), направленной на правительство Южной Кореи в Сеуле. Они несут ответственность за атаки в 2011 и 2013 годах, возможно, также за нападение на Южную Корею в 2007 году. Было отмечено, что они были причастны к атаке на Sony Pictures в 2014 году, демонстрируя растущую изощренность и умение их методов.

APT Lazarus также участвовал в хищении 12 миллионов долларов из Banco del Austro в Эквадоре и 1 миллиона долларов из Tien Phong Bank во Вьетнаме. Группа также нацелена на банки в Мексике и Польше, Бангладеш и Тайване.

Неизвестно, кто стоит за группой, но их выбор целей заставил сообщество безопасности заподозрить, что они, вероятно, были северокорейского происхождения. Lazarus APT сосредоточился на шпионских и проникновенных атаках, в то время как другая группа в их организации сосредоточилась на финансовых кибератаках. Между этой частью организации и Северной Кореей была установлена прямая, повторяющаяся связь по IP-адресу, хотя некоторые исследователи полагали, что это может быть вводящей в заблуждение тактикой, позволяющей сбить расследование.

Предполагается, что APT Lazarus состоит из двух подразделений в структуре организации:

BlueNorOff

Это финансовое подразделение группы, ответственной за незаконные денежные переводы, чаще всего посредством подделки заказов от Swift. Они также были названы APT38 и Stardust Chollima другими компаниями и организациями, занимающимися кибербезопасностью.

AndAriel

Известный своими атаками на южнокорейские цели, AndAriel также получил прозвище Silent Chollima из-за их более скрытного и низкопрофильного характера по сравнению с их аналогом банковских киберпреступлений. Организации в Южной Корее часто становились мишенями в истории APT Lazarus, при этом основное внимание уделялось оборонным, правительственным и экономическим целям.