Мошенничество и взломы

Основные моменты

• Группа Лазарь - это поддерживаемая государством Северной Кореей команда хакеров, ответственная за кибер-ограбления на миллиарды долларов. Их операции финансируют ракетную и ядерную программы страны.
• Lazarus использует специализированные вредоносные программы, уязвимости нулевого дня и кампании spear-phishing для взлома финансовых учреждений, криптовалютных бирж и правительственных агентств.
• Примечательные атаки включают в себя взлом Bybit на $1,5 миллиарда (2025 год), нарушение Ronin Bridge на $625 миллионов (2022 год) и ограбление Бангладешского банка на $101 миллион (2016 год).
• Группа использует ввод в заблуждение, задние двери, анти-криминалистические техники и стирающие устройства, чтобы скрыть свои следы и поддерживать долгосрочный доступ к скомпрометированным сетям.

Криптовалютная атака на Bybit 21 февраля 2025 года вновь привлекла внимание к известной группе Лазарус, «заслуженной» серией разрушительных атак на криптовалютные бизнесы. С 2017 года группа Лазарус похитила оценочно 6 миллиардов долларов из индустрии криптовалют,согласноаналитическая фирма по блокчейну Elliptic. Неудивительно, что Лазарус получил титул суперзлодея в криптосистеме.

Как одна из самых продуктивных киберпреступных организаций в истории, группа Лазарь используетпередовые тактики взломаи часто белые воротнички на передовой, что указывает на полную государственную поддержку.

Это вызывает критические вопросы о группе Лазарус, их выполнении сложной атаки Bybit и других подобных взломах, а также о том, как криптовалютные организации могут бороться с этой растущей угрозой. В этой статье рассматриваются эти вопросы и многое другое.

Происхождение и предыстория группы Лазарус

Группа Лазаря - это группа угроз, базирующаяся в Демократической Народной Республике Корея (ДНРК) или Северной Корее, известная своими кибершпионажными действиями и откатом денег.

Активен с 2009 года, связан с Генеральным бюро разведки (RGB) правительства Северной Кореи, основным разведывательным агентством нации. Группа постоянной угрозы (APT) известна своими сложными кроссплатформенными атаками на финансовые институты,криптовалютные биржи, конечные точки системы SWIFT, казино и банкоматы по всему миру.

Связь группы с разведывательным агентством нации указывает на государственное спонсорство. Хакеры получают государственную покровительство для своих злонамеренных действий, что означает, что они могут действовать без страха перед местными правоохранительными органами. Их деятельность направлена не только на сбор разведывательной информации, но и на обеспечение средств для ракетных и ядерных программ страны.

ФБР США называет группу Лазарь корейской "государственной хакерской организацией". Перебежчик из КНДР Ким Кук-сонг рассказал, что внутри она известна как Офис связи 414 в КНДР.

За годы существования группа Лазарус значительно повысила уровень сложности и эффективности своих тактик, а также масштаб своей деятельности.

Вы знали? Служба разведки Microsoft Threat выявила группу хакеров, известную как "Sapphire Sleet", как угрозу из Северной Кореи, активно участвующую в краже криптовалюты и корпоративном проникновении. Термин "слякоть" указывает на связи группы с Северной Кореей.

Как действует группа Лазарус?

Из-за государственной поддержки группа Лазарь имеет ресурсы и экспертизу, чтобывыполнять сложные кибератаки. Он выполняет многоуровневые операции, включая разработку и развертывание настраиваемого вредоносного ПО и эксплуатацию уязвимостей нулевого дня. Термин "уязвимость нулевого дня" относится к уязвимости безопасности в программном обеспечении или аппаратуре, неизвестной разработчику. Это означает, что для нее нет ни исправления, ни подготовки.

Одним из признаков группы Лазарус является создание индивидуальных вредоносных программ, таких как MagicRAT и QuiteRAT, предназначенных для внедрения и управления целевыми системами. Они также известны своей способностью использовать ранее неизвестные уязвимости безопасности для взлома систем до выхода патчей.

Социальная инженерия - еще одна важная составляющая их стратегии. Это о хакерах, использующих эмоции, чтобы обмануть пользователей и убедить их выполнить определенные действия, такие как передача важных данных. Группа Лазарус проводит спире-фишинг-кампании, который отправляет мошеннические электронные письма ничего не подозирающим людям, выдавая себя за их сеть, чтобы выманить у них конфиденциальную информацию.

Ихадаптивность и развивающиеся техникисделать группу Лазарус постоянной и формидабельной угрозой в глобальном кибербезопасности.

Лучшие ограбления группой Лазарус

В течение многих лет происходило множество кибератак, в которых участвовала группа Лазарус. Вот некоторые значительные ограбления, совершенные этой группой:

Крипто-ограбления

1. Gate (февраль 2025)

Байбит, криптовалютная биржа с базой в Дубае,пережил массовое нарушение безопасности, потеряв $1.5 миллиарда в цифровых активах в феврале 2025 года, что делает его самым значительным криптовалютным ограблением на сегодняшний день.

Атака была направлена на интерфейс SafeWallet, используемый руководством Bybit для осуществления мошеннических транзакций. Украденные средства, в основном в виде Эфира, были быстро распределены по нескольким кошелькам иликвидирован через различные платформыГенеральный директор Bybit Бен Чжоу заверил пользователей, что другие холодные кошельки остаются безопасными, а вывод работает нормально.

Компании по аналитике блокчейна, включая Elliptic и Arkham Intelligence, отследили похищенные активы и позже приписали атаку государственно поддерживаемой северокорейской группе Лазарус. Взлом вызвал волну выводов с Bybit, заставив биржу обеспечить мостовой кредит для покрытия убытков.

2. WazirX (Июль 2024)

В июле 2024 года крупнейшая криптовалютная биржа Индии WazirX столкнулась с серьезным нарушением безопасности, в результате которого было потеряно около 234,9 миллиона долларов цифровых активов. Атаку, которую приписали северокорейской группе Лазарь, сопровождали сложные методы фишинга и эксплуатации API.

Хакеры манипулировали мультиподписной системой кошелька WazirX, получив несанкционированный доступ как к горячим, так и к холодным кошелькам. Это нарушение привело к приостановке торговых операций и вызвало юридические проблемы, включая судебный иск от конкурирующей биржи CoinSwitch, нацеленный на возврат $9.65 миллионов заблокированных средств.

В январе 2025 года Высокий суд Сингапура утвердил план реструктуризации WazirX, позволяя компании встретиться с кредиторами для обсуждения стратегий по восстановлению активов.

3. Stake.com (Сентябрь 2023)

В сентябре 2023 года группа нарушила Stake.com, платформу для криптовалютных ставок, путем получения и использования украденныхчастные ключи. Это позволило им перехватить $41 миллион по различным блокчейн сетям.

ФБР СШАприписываетсяэту кражу совершила группа Лазарус, также известная как APT38. Украденные активы были прослежены через несколько блокчейн-сетей, включая Ethereum, BNB Smart Chain и Polygon.

4. CoinEx (Сентябрь 2023)

Позже в сентябре 2023 года CoinEx, мировая криптовалютная биржа, сообщила о несанкционированных транзакциях, приведших к убыткам, оцененным в $54 миллиона.

Исследования блокчейн-аналитиков, включая аналитика ZachXBT, раскрытые шаблоны кошелька и поведение на цеписвязывая этот проникновение с предыдущим взломом Stake.com, указывая на согласованные усилия группы Лазарус.

5. CoinsPaid и Alphapo (июль 2023 года)

22 июля 2023 года CoinsPaid пережил тщательно спланированный кибератаку, в результате которой было похищено 37,3 миллиона долларов. Злоумышленники использовали стратегию, включающую взяточничество и фальшивые кампании найма, нацеленные на ключевой персонал компании в месяцах, предшествующих нарушению.

Во время атаки был зафиксирован необычный скачок сетевой активности, в котором участвовало более 150 000 различных IP-адресов. Несмотря на значительные финансовые потери, внутренняя команда CoinsPaid приложила все усилия для укрепления своих систем, обеспечивая сохранность средств клиентов и их полную доступность.

В тот же день Alphapo, централизованный провайдер криптовалютных платежей для различных онлайн-платформ, столкнулся с нарушением безопасности 23 июля 2023 года. Первоначальные отчеты оценили убытки примерно в $23 миллиона; однако дальнейшие расследования показали, что общая сумма украденного превысила $60 миллионов. Аналитики блокчейна приписали эту атаку группе Лазарус, отметив, что украденные средства были прослежены через несколько адресов и цепочек.

6. Мост Harmony Horizon (июнь 2022)

Группа Лазарус использовала уязвимости в Горизонте Бридж Хармони в июне 2022 года. Путем социальной инженерии и компрометации мультиподписных кошельков они скрылись с 100 миллионами долларов, подчеркивающих риски, связанные с мостами межцепочечного обмена (облегчение передачи активов между сетями, такими как Ethereum, Bitcoin и BNB Smart Chain).

Атакующие использовали уязвимости безопасности, получив контроль над мультиподписным кошельком, используемым для авторизации транзакций. Это нарушение позволило им выкачать примерно $100 миллионов в различных криптовалютах. Украденные активы были отмыты через миксер Tornado Cash, усложняя усилия по отслеживанию. Elliptic была одной из первых, кто приписал эту атаку группе Лазарь, оценку позже подтвердило FBI в январе 2023 года.

7. Мост Ронин (Март 2022)

В марте 2022 года мост Ронин, кроссцепочечный мостподдержка игры Axie Infinity,претерпел значительное нарушение безопасностипод руководством группы Лазарь, что привело к краже примерно 625 миллионов долларов в криптовалюте.

Сеть Ronin работала с девятью валидаторами, требуя как минимум пять подписей для авторизации транзакций. Атакующим удалось получить контроль над пятью приватными ключами, что позволило им утвердить несанкционированные выводы.

Хакеры привлекли сотрудника Sky Mavis фальшивым предложением работы, доставив зараженный вредоносным ПО PDF-файл, который компрометировал внутренние системы компании. Этот доступ позволил злоумышленникам перемещаться по сети, захватывая контроль над четырьмя валидаторами, управляемыми Sky Mavis, и дополнительным валидатором, управляемым AxieDAO (децентрализованная автономная организация).

Группа объединила социальную инженерию с техническим мастерством, чтобы осуществить хакерскую атаку Ronin Bridge.

8. Кошелек Atomic (2022)

На протяжении 2022 года пользователи Atomic Wallet, децентрализованного приложения для хранения криптовалюты, стали жертвами серии атак, организованных группой Лазарь.

Хакеры использовали специализированный вредоносный софт для взлома отдельных кошельков, что привело к убыткам, оцениваемым в диапазоне от 35 до 100 миллионов долларов. Elliptic связал эти нарушения с группой Лазарус, отследив перемещение украденных средств и выявив схемы отмывания, соответствующие предыдущей деятельности группы.

9. Обмен Bithumb (июль 2017)

В июле 2017 года группировка Лазарус провела атаку методом спир-фишинга на Bithumb, одну из крупнейших криптовалютных бирж Южной Кореи.

Проникнув во внутренние системы биржи, им удалось похитить примерно 7 миллионов долларов в криптовалютах. Этот инцидент стал одним из ранних и заметных проникновений группы в расцветающую отрасль цифровых активов.

10. Биржа Youbit (апрель и декабрь 2017 года)

Группа Лазарь провела два значительных атаки на биржу Youbit в Южной Корее в 2017 году. Первая атака в апреле включала использование вредоносного ПО и методов фишинга, что привело к компрометации безопасности биржи и к существенным потерям активов.

Последующая атака в декабре привела к потере 17% общих активов Youbit. Финансовое напряжение от этих последовательных нарушений вынудило биржу обанкротиться, подчеркивая тяжелые последствия киберактивности группы для платформ цифровых активов.

Вы знали? Северная Корея размещает тысячи ИТ-специалистов по всему миру, в том числе в России и Китае, чтобы генерировать доход. Они используют созданные ИИ профили и украденные личности, чтобы занять выгодные технологические позиции, что позволяет им красть интеллектуальную собственность, шантажировать работодателей и пересылать средства режиму.

Другие крупные кражи

1. WannaCry (Май 2017)

WannaCryатака вымогателейбыл массовым кибербезопасностный инцидент, затронувший организации по всему миру. 12 мая 2017 года червь-вымогатель WannaCry заразил более 200 000 компьютеров в более чем 150 странах. Среди основных пострадавших были FedEx, Honda, Nissan и Национальная служба здравоохранения Великобритании (NHS), которой пришлось перенаправлять скорые из-за нарушений в системе.

Исследователь в области безопасности обнаружил временный "выключатель" , остановивший атаку. Но многие системы оставались заблокированными, пока жертвы не заплатили выкуп или не нашли способ восстановить свои данные. WannaCry использовал уязвимость под названием "EternalBlue", эксплойт, изначально разработанный Национальным управлением по безопасности США (NSA).

Этот эксплойт позже был украден и утек через Shadow Brokers. WannaCry в основном нацеливался на старые, не обновленные системы Microsoft Windows, что позволило ему быстро распространяться и причинять массовый ущерб. Атака подчеркнула критическую необходимость регулярных обновлений программного обеспечения и осведомленности в области кибербезопасности.

2. Бангладешский банк (февраль 2016 года)

В феврале 2016 года Бангладешский банк пережил значительное киберграбеж, когда злоумышленники пытались похитить почти $1 миллиард со счета в Федеральном резервном банке Нью-Йорка. Преступники, позднее идентифицированные как Группа Лазарь, проникли в системы банка в январе 2015 года через вредоносное электронное письмо. Они изучили операции банка, в конечном итоге инициировав 35 мошеннических запросов на перевод через сеть SWIFT.

Хотя большинство были заблокированы, пять транзакций на общую сумму в $101 миллион были успешными, при этом $81 миллион достигли счетов на Филиппинах. Одна опечатка в запросе на перевод вызвала подозрения, предотвращая полное ограбление.

3. Sony Pictures (ноябрь 2014)

В ноябре 2014 года Sony Pictures Entertainment столкнулась с значительной кибератакой, проведенной Guardians of Peace, имеющими связи с группой Лазаря. Злоумышленники проникли в сеть Sony, получив доступ к огромным объемам конфиденциальных данных, включая неопубликованные фильмы, чувствительную информацию о сотрудниках и внутренние коммуникации.

Группа также развернула вредоносное ПО, вследствие чего приблизительно 70% компьютеров Sony перестали функционировать. Финансовый ущерб от нарушения был значительным, и Sony сообщила о потерях в размере 15 миллионов долларов, хотя другие оценки указывают на то, что затраты на восстановление могли превысить 85 миллионов долларов.

Мотивацией для атаки было возмездие за планируемый выпуск Sony фильма «Интервью», комедии, изображающей покушение на лидера КНДР Ким Чен Ына.

Несмотря на отрицание Северной Кореей своего участия, правительство США официально приписало атаку угрозе со стороны северокорейских хакеров, подчеркнув способность группы Лазарь к выполнению сложных киберопераций с существенными геополитическими последствиями.

Вы знали? В августе 2024 года ЗакXBT раскрыл, что 21 северокорейских разработчиков проникли в криптостартапы, зарабатывая $500,000 в месяц.

ФБР выявило ключевых хакеров группы Лазарус, стоящих за крупными кибератаками

ФБР публично идентифицировало троих подозреваемых корейских хакеров как членов группы Лазарус.

В сентябре 2018 года ФБР обвинило Пак Чжин Хёка, гражданина КНДР, связанного с группировкой Лазарь, в предполагаемом участии в крупных кибератаках. Пак, о котором сообщается, что он работал в совместном предприятии Чосон Экспо, фронтовой компании КНДР, был связан с взломом киностудии Sony в 2014 году и ограблением Банка Бангладеш в 2016 году, где было похищено 81 миллион долларов.

ФБР также обвинило Парка в его связи с кибератакой WannaCry 2.0 2017 года, которая нарушила работу больниц, включая NHS в Великобритании. Следователи проследили его и его сообщников через общий код вредоносного ПО, украденное хранилище учетных данных и прокси-сервисы, скрывающие IP-адреса Северной Кореи и Китая.

В феврале 2021 года Минюст США предъявил обвинения Джону Чан Хёк и Ким Иль за их участие в глобальных киберпреступлениях. Джон разработал и распространил вредоносные крипто-приложения для внедрения в финансовые учреждения, в то время как Ким координировал распространение вредоносного ПО, крипто-грабежи и мошенническое предложение начальной монеты Marine Chain.

Общие тактики, используемые группой Лазарус

Группа Лазарь использует несколько сложных тактик для осуществления кибератак, включая дезориентацию, отвод, антифорензику и техники защиты:

Разрушение

Lazarus проводит деструктивные атаки, используяраспределенный отказ в обслуживании (DDoS)и зловред в виде стиральной роботы с таймерами. Например, троян KILLMBR стирает данные на целевой системе в установленную дату, в то время как QDDOS, зловред, удаляет файлы после заражения. Еще один инструмент, DESTOVER, функционирует как задний ход, но также обладает функциями стирки. Эти тактики направлены на парализацию систем и их неработоспособность.

Ошибочное направление

Чтобы скрыть свое участие, Лазарь маскирует некоторые атаки под работу вымышленных групп, таких как «GOP», «WhoAmI» и «New Romanic Army». Эти группы берут на себя ответственность за атаку, в то время как Лазарь является игроком за кулисами. Они могут поцарапать веб-сайты некоторой пропагандой. Лазарь также встраивает ложные флаги в свои вредоносные программы, например, используя романизированные русские слова в задней двери KLIPOD.

Задние двери

Lazarus полагается на задние двери для постоянного доступа к взломанным системам, используя инструменты, такие как задняя дверь Manuscrypt (NukeSped) в фишинговых кампаниях, а также импланты BLINDINGCAN и COPPERHEDGE против оборонных целей.

Техники анти-форензики

Для того чтобы замести следы, Лазарь использует несколько техник антифорензики:

• Разделение компонентов: В операциях, связанных с подгруппой Bluenoroff из Lazarus, фрагментируется компоненты вредоносного ПО, чтобы затруднить их анализ.
• Инструменты командной строки: Многие атаки зависят от обратных дверей командной строки и установщиков, требующих определенных аргументов. Например, установщик фреймворка Nestegg требует пароль в качестве аргумента.
• Wipers: Лазарь использует стёрщики, чтобы стереть улики о нападении после завершения операции. Образцы DESTOVER были замечены в некоторых операциях Bluenoroff.
• Удаление журналов и записей: Лазарь удаляет данные предварительной загрузки, журналы событий и записи таблицы мастер-файлов (MFT) для устранения улик.

Сочетая эти методики, Лазарус эффективно нарушает цели, вводит в заблуждение усилия по атрибуции и скрывает свою деятельность.

Как защититься от атак группы Лазарус

Защита от угроз, представляемых группой Лазарус, требует комплексной стратегии безопасности. Организации должны внедрить несколько уровней защиты, чтобы обеспечить безопасность своих цифровых активов от сложных кибератак.

Ключевые меры обороны, которые вам необходимо принять, включают:

• Защита от DDoS: Организации должны развертывать надежные стратегии смягчения для предотвращения сбоев в обслуживании и потенциальных утечек данных. Проактивное выявление и нейтрализация таких атак критичны.
• Интеллект угроз: Использование информации об угрозах помогает обнаруживать и реагировать на киберугрозы, включая вымогательство и DDoS-атаки. Вам необходимо быть информированным о развивающихся тактиках, используемых Лазарусом для проведения своих операций.
• Защита активов: финансовые учреждения, криптовалютные биржи и другие объекты повышенной ценности должны обеспечить безопасность критически важных цифровых активов от атак Лазаруса. Защита конечных точек системы SWIFT, банкоматов и банковской инфраструктуры является крайне важной.
• Постоянный мониторинг угроз: Непрерывный мониторинг сетевой инфраструктуры необходим для выявления и устранения потенциальных вторжений. Команды безопасности должны обеспечить регулярное обновление всех систем последними патчами для уменьшения уязвимостей.
• Многоуровневые решения безопасности: Расширенные решения безопасности, такие как те, которые включают анализ поведения, машинное обучение и защиту от эксплойтов, усиливают защиту от целенаправленных атак. Инструменты с интеграцией песочницы и защитой от вымогательского вредоносного ПО добавляют дополнительные уровни безопасности.
• Защита в реальном времени: При работе с сложными атаками вам нужна защита в реальном времени от целенаправленных атак. Вы должны иметь возможность обнаруживать целенаправленные атаки в любом месте сети с использованием переколено-поколенных техник, чтобы применять подходящую технологию в нужное время.

Однако поскольку технологии развиваются быстрыми темпами, а хакеры продолжают создавать новые векторы угроз, физические лица и организации должны оставаться проактивными и постоянно мониторить появляющиеся угрозы.

Как профессор Билл Бьюкенен, ведущий эксперт в области прикладной криптографии,подчеркивает, «Нам нужно много вложить в кибербезопасность; в противном случае мы идем к миру, защищенному Джорджем Оруэллом в 1984 году, или миру, где мы становимся рабами машины».

Это заявление подчеркивает глубокие последствия пренебрежения кибербезопасностью и необходимость постоянных инвестиций в защитные меры.

Помните, борьба против таких сложных угроз не сводится к одному защитному механизму, а представляет собой непрерывную стратегию, включающую в себя предотвращение, обнаружение и быстрый отклик.

В конечном итоге, защита от группы Лазарус требует бдительности, передовых средств безопасности и организационного обязательства постоянного совершенствования. Только благодаря этим совместным усилиям бизнесы и учреждения могут защитить свои активы, сохранить доверие и опережать киберпреступников.

Отказ от ответственности：

1. Эта статья перепечатана с [CoinTelegraph]. Все авторские права принадлежат оригинальному автору [Дилип Кумар Патаиря]. Если у вас есть возражения к этому перепечатыванию, пожалуйста, свяжитесь с Gate Learnкоманда, и они незамедлительно разберутся с этим.
2. Ответственность за отказ: Мнения и взгляды, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционными рекомендациями.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.