Nguồn: Wikipedia
Biên soạn bởi Yobo, Foresight News
Nội dung sau đây được dịch từ mục "Lazarus Group" trên Wikipedia:
Nhóm Lazarus (còn được gọi là "Guardians" hoặc "Peace or Whois Team") là một nhóm hacker bao gồm một số lượng cá nhân không xác định, được cho là do chính phủ Triều Tiên kiểm soát. Mặc dù biết rất ít về nhóm này, các nhà nghiên cứu đã xác định nhóm này thực hiện một số cuộc tấn công mạng kể từ năm 2010.
Ban đầu là một nhóm tội phạm, nhóm này hiện đã được chỉ định là nhóm đe dọa dai dẳng cấp cao do mục đích tấn công, các mối đe dọa mà nhóm này gây ra và nhiều phương pháp mà nhóm này sử dụng trong các hoạt động của mình. Các cơ quan an ninh mạng đã đặt cho chúng những biệt danh như “Hidden Cobra” (tên mà Bộ An ninh Nội địa Hoa Kỳ sử dụng để chỉ các hoạt động mạng độc hại do chính phủ Triều Tiên phát động) và “ZINC” hay “Diamond Sleet” (thuật ngữ của Microsoft). Theo Kim Kuk-song, một người đào tẩu khỏi Triều Tiên, nhóm này được biết đến ở Bắc Triều Tiên với tên gọi "Văn phòng liên lạc 414".
Nhóm Lazarus có mối quan hệ chặt chẽ với Triều Tiên. Bộ Tư pháp Hoa Kỳ cáo buộc rằng nhóm này là một phần trong chiến lược của chính phủ Triều Tiên nhằm "phá hoại an ninh mạng toàn cầu... và tạo ra thu nhập bất hợp pháp, vi phạm lệnh trừng phạt". Triều Tiên có thể thu được nhiều lợi ích từ việc tiến hành các hoạt động mạng và chỉ cần duy trì một đội ngũ rất nhỏ để tạo ra mối đe dọa bất đối xứng "tính toàn cầu" (đặc biệt là đối với Hàn Quốc).
Lịch sử phát triển
Các cuộc tấn công đầu tiên được biết đến của nhóm này là Chiến dịch Troy từ năm 2009 đến năm 2012. Đây là chiến dịch gián điệp mạng sử dụng các kỹ thuật từ chối dịch vụ phân tán (DDoS) thô sơ để nhắm vào chính phủ Hàn Quốc tại Seoul. Vào năm 2011 và 2013, họ cũng đã tiến hành các cuộc tấn công. Mặc dù không thể xác nhận, nhưng họ có thể đã thực hiện một cuộc tấn công vào Hàn Quốc vào năm 2007. Một trong những cuộc tấn công đáng chú ý của nhóm này diễn ra vào năm 2014, nhắm vào Sony Pictures. Cuộc tấn công lần sử dụng những kỹ thuật tinh vi hơn và cho thấy nhóm này đã trưởng thành hơn theo thời gian.
Năm 2015, Tập đoàn Lazarus được cho là đã đánh cắp 12 triệu đô la từ Ngân hàng Banco Ostello ở Ecuador và 1 triệu đô la khác từ Ngân hàng Pioneer ở Việt Nam. Họ cũng nhắm vào các ngân hàng ở Ba Lan và Mexico. Trong vụ trộm ngân hàng năm 2016, chúng đã tấn công một ngân hàng và đánh cắp thành công 81 triệu đô la, vụ việc này cũng được cho rằng là do nhóm này gây ra. Năm 2017, có thông tin Tập đoàn Lazarus đã đánh cắp 60 triệu đô la từ Ngân hàng Thương mại Quốc tế Viễn Đông của Đài Loan, mặc dù số tiền thực tế bị đánh cắp vẫn chưa rõ ràng và phần lớn số tiền đã được thu hồi.
Người ta vẫn chưa rõ ai thực sự đứng sau nhóm này, nhưng các phương tiện truyền thông đưa tin rằng nhóm này có quan hệ chặt chẽ với Triều Tiên. Năm 2017, Kaspersky Lab báo cáo rằng Nhóm Lazarus có xu hướng tập trung vào các cuộc tấn công mạng gián điệp và xâm nhập, trong khi một tổ chức phụ trong nhóm này, mà Kaspersky gọi là "Bluenoroff", chuyên về các cuộc tấn công mạng tài chính. Kaspersky đã phát hiện nhiều cuộc tấn công trên toàn thế giới và tìm thấy mối liên kết địa chỉ IP trực tiếp giữa Bluenoroff và quốc gia này.
Tuy nhiên, Kaspersky cũng thừa nhận rằng việc tái sử dụng mã có thể là một "hoạt động đánh dấu cờ giả" nhằm đánh lừa các nhà điều tra và đổ lỗi cho Bắc Triều Tiên. Xét cho cùng, cuộc tấn công mạng toàn cầu bằng sâu "WannaCry" đã sao chép công nghệ của Cơ quan An ninh Quốc gia Hoa Kỳ. Phần mềm tống tiền này khai thác lỗ hổng EternalBlue của NSA, được một nhóm hacker có tên Shadow Brokers công bố vào tháng 4 năm 2017. Năm 2017, Symantec báo cáo rằng cuộc tấn công "WannaCry" rất có thể được thực hiện bởi Lazarus Group.
Chiến dịch Troy năm 2009
Vụ tấn hacker lớn đầu tiên của Nhóm Lazarus xảy ra vào ngày 4 tháng 7 năm 2009, đánh dấu sự khởi đầu của "Chiến dịch Troy". Lần tấn công sử dụng phần mềm độc hại "MyDoomsday" và "Bulldozer" để phát động một cuộc tấn công DDoS quy mô lớn nhưng không phức tạp vào các trang web tại Hoa Kỳ và Hàn Quốc. Cuộc tấn công nhắm vào khoảng 36 trang web và cấy dòng chữ "Kỷ niệm Ngày Độc lập" vào bản ghi khởi động chính (MBR).
Các cuộc tấn công mạng Hàn Quốc năm 2013 (Chiến dịch 1/Dark Seoul)
Theo thời gian, các cuộc tấn công của nhóm này ngày càng tinh vi hơn; kỹ thuật và công cụ của chúng cũng trở nên hoàn thiện và hiệu quả hơn. Các cuộc tấn công “Mười ngày mưa” vào tháng 3 năm 2011, nhắm vào phương tiện truyền thông, tài chính và cơ sở hạ tầng quan trọng của Hàn Quốc, sử dụng các cuộc tấn công DDoS tinh vi hơn có nguồn gốc từ các máy tính bị xâm nhập bên trong Hàn Quốc. Vào ngày 20 tháng 3 năm 2013, Chiến dịch Dark Seoul đã được phát động, một cuộc tấn công xóa dữ liệu nhắm vào ba đài truyền hình, tổ chức tài chính và một nhà cung cấp dịch vụ Internet tại Hàn Quốc. Vào thời điểm đó, hai nhóm khác tự gọi là New Rome Cyber Legion và WhoIs Đội ngũ đã nhận trách nhiệm về lần tấn công, nhưng các nhà nghiên cứu không biết rằng Lazarus Group chính là kẻ đứng sau vụ việc. Ngày nay, các nhà nghiên cứu biết rằng Nhóm Lazarus đứng sau những cuộc tấn công phá hoại này.
Cuối năm 2014: Sony Pictures bị hack
Vào ngày 24 tháng 11 năm 2014, các cuộc tấn công của Nhóm Lazarus đã đạt đến đỉnh điểm. Cùng ngày, một bài đăng xuất hiện trên Reddit nói rằng Sony Pictures đã bị tấn công bằng phương tiện không xác định và những kẻ tấn công tự gọi mình là "Người bảo vệ hòa bình". Lượng lớn dữ liệu đã bị đánh cắp và rò rỉ dần dần trong những ngày sau vụ tấn công. Một người tự nhận là thành viên của nhóm này cho biết trong một cuộc phỏng vấn rằng họ đã đánh cắp dữ liệu của Sony trong hơn một năm.
Hacker đã có thể truy cập vào các bộ phim chưa phát hành, một số kịch bản phim, kế hoạch làm phim trong tương lai, thông tin về mức lương của giám đốc điều hành công ty, email và thông tin cá nhân của khoảng 4.000 nhân viên.
Cuộc điều tra đầu năm 2016: Chiến dịch Blockbuster
Có tên mã là "Chiến dịch Blockbuster", một liên minh các công ty bảo mật do Novetta đứng đầu đã phân tích các mẫu phần mềm độc hại được tìm thấy trong các sự cố an ninh mạng khác nhau. Sử dụng dữ liệu này, đội ngũ đã phân tích cách thức hoạt động của hacker. Họ liên kết Nhóm Lazarus với nhiều cuộc tấn công thông qua các mẫu tái sử dụng mã. Ví dụ, họ đã sử dụng một thuật toán crypto ít được biết đến trên Internet - thuật toán mã hóa "Karacas".
Một vụ trộm cắp mạng ngân hàng năm 2016
Vào tháng 2 năm 2016, một vụ cướp ngân hàng đã xảy ra. Hacker bảo mật đã gửi 35 lệnh gian lận qua mạng lưới Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT) nhằm mục đích chuyển trái phép gần 1 tỷ đô la từ tài khoản của một ngân hàng trung ương tại Ngân hàng Dự trữ Liên bang New York. Năm trong số 35 lệnh gian lận đã chuyển thành công 101 triệu đô la, trong đó 20 triệu đô la tới Sri Lanka và 81 triệu đô la tới Philippines. Cục Dự trữ Liên bang New York đã chặn 30 giao dịch còn lại, trị giá 850 triệu đô la, sau khi nghi ngờ về một hướng dẫn viết sai chính tả. Các chuyên gia an ninh mạng cho biết kẻ chủ mưu đứng sau lần tấn công là nhóm Lazarus đến từ một quốc gia nào đó.
Cuộc tấn công ransomware “WannaCry” tháng 5 năm 2017
Cuộc tấn công “WannaCry” là một cuộc tấn công mạng bằng phần mềm tống tiền quy mô lớn diễn ra vào ngày 12 tháng 5 năm 2017, ảnh hưởng đến nhiều tổ chức trên khắp thế giới, từ Dịch vụ Y tế Quốc gia (NHS) của Vương quốc Anh đến Boeing và thậm chí cả một số trường đại học ở Trung Quốc. Lần tấn công kéo dài 7 giờ 19 phút. Europol ước tính lần tấn công đã ảnh hưởng đến gần 200.000 máy tính ở 150 quốc gia, trong đó các khu vực bị ảnh hưởng chính bao gồm Nga, Ấn Độ, Ukraine và Đài Loan. Đây là một trong những cuộc tấn công crypto sâu mã hóa sớm nhất. Crypto là một loại phần mềm độc hại lây lan từ máy tính này sang máy tính khác qua mạng, lây nhiễm mà không cần người dùng thực hiện hành động trực tiếp — trong trường hợp lần, sử dụng cổng TCP 445. Không cần nhấn liên kết độc hại để lây nhiễm vi-rút vào máy tính; phần mềm độc hại có thể tự động lây lan từ máy tính này sang máy in được kết nối, sang các máy tính gần đó được kết nối với mạng không dây, v.v. Lỗ hổng ở cổng 445 cho phép phần mềm độc hại lây lan tự do trong mạng nội bộ, nhanh chóng lây nhiễm sang hàng nghìn máy tính. Cuộc tấn công WannaCry là một trong những cuộc tấn công đầu tiên sử dụng sâu crypto trên quy mô lớn.
Cách thức tấn công: Virus này khai thác lỗ hổng trong hệ điều hành Windows, sau đó crypto dữ liệu máy tính và yêu cầu thanh toán khoảng 300 đô la Bitcoin để có khóa giải mã. Để thúc đẩy nạn nhân trả tiền, số tiền chuộc sẽ tăng gấp đôi sau ba ngày và nếu không trả trong vòng một tuần, phần mềm độc hại sẽ xóa các tệp dữ liệu crypto . Phần mềm độc hại này sử dụng phần mềm hợp pháp do Microsoft phát triển có tên là "Windows Crypto" để crypto các tập tin. Sau khi crypto hoàn tất, tên tệp sẽ được thêm hậu tố "Wincry", đây chính là nguồn gốc của tên "WannaCry". Wincry là cơ sở của crypto, nhưng phần mềm độc hại này cũng khai thác hai lỗ hổng khác là EternalBlue và DoublePulsar, khiến nó trở thành một loại sâu crypto. "EternalBlue" có thể tự động phát tán virus qua mạng, trong khi "Double Pulsar" kích hoạt virus trên máy tính của nạn nhân. Nói cách khác, EternalBlue đã chuyển liên kết bị nhiễm đến máy tính của bạn và Double Pulsar nhấn liên kết đó thay bạn.
Sau khi nhận được mẫu vi-rút từ một người bạn làm việc tại một công ty nghiên cứu bảo mật, nhà nghiên cứu bảo mật Marcus Hutchins đã phát hiện ra rằng một "công tắc vô hiệu hóa" đã được mã hóa cứng trong vi-rút, giúp chấm dứt lần tấn công. Phần mềm độc hại sẽ kiểm tra định kì để xem tên miền cụ thể đã được đăng ký hay chưa và chỉ tiến hành crypto nếu tên miền chưa tồn tại. Hutchins đã phát hiện ra tờ séc này và sau đó đã đăng ký tên miền vào lúc 3:03 chiều theo giờ UTC. Phần mềm độc hại ngay lập tức ngừng lây lan và lây nhiễm sang các thiết bị mới. Tình huống này rất thú vị và cũng cung cấp manh mối để truy tìm tạo ra loại virus này. Thông thường, việc chặn phần mềm độc hại đòi hỏi nhiều tháng chiến đấu qua lại giữa hacker và các chuyên gia bảo mật, nên chiến thắng dễ dàng như vậy là điều không ai ngờ tới. Một khía cạnh bất thường khác của cuộc tấn công lần là các tập tin không thể được khôi phục ngay cả sau khi tiền chuộc được trả: hacker chỉ nhận được 160.000 đô la tiền chuộc, điều này khiến nhiều người cho rằng mục đích của họ không phải là tài chính.
Việc dễ dàng bẻ khóa công tắc hủy diệt và lợi nhuận ít ỏi khiến nhiều người tin lần cuộc tấn công này được nhà nước bảo trợ; động cơ không phải là bồi thường tài chính mà là để tạo ra sự hỗn loạn. Sau cuộc tấn công, các chuyên gia bảo mật đã lần ra lỗ hổng Double Pulsar bắt nguồn từ Cơ quan An ninh Quốc gia Hoa Kỳ, vốn ban đầu được phát triển như một vũ khí mạng. Sau đó, nhóm hacker"Shadow Brokers" đã đánh cắp lỗ hổng này và đầu tiên cố gắng đấu giá nó, nhưng không thành công. Cuối cùng, họ chỉ đơn giản là công khai nó miễn phí. Sau đó, NSA đã thông báo cho Microsoft về lỗ hổng bảo mật này và Microsoft đã phát hành bản cập nhật vào ngày 14 tháng 3 năm 2017, chưa đầy một tháng sau vụ tấn công. Nhưng thế vẫn chưa đủ. Vì bản cập nhật không bắt buộc nên cho đến ngày 12 tháng 5, hầu hết các máy tính có lỗ hổng vẫn chưa được vá, khiến lần tấn công gây ra thiệt hại đáng kinh ngạc.
Hậu quả: Bộ Tư pháp Hoa Kỳ và các nhà chức trách Anh sau đó đã xác định rằng vụ tấn công WannaCry là tác phẩm của nhóm hacker Triều Tiên Lazarus Group.
Các cuộc tấn công crypto năm 2017
Năm 2018, Recorded Future đã công bố báo cáo liên kết Tập đoàn Lazarus với các cuộc tấn công nhằm vào người dùng crypto Bitcoin và Monero, chủ yếu ở Hàn Quốc. Các cuộc tấn công này được cho là về mặt kỹ thuật tương tự như các cuộc tấn công trước đây sử dụng phần mềm tống tiền WannaCry và cuộc tấn công vào Sony Pictures. Một trong những chiến thuật mà nhóm hacker Lazarus Group sử dụng là khai thác lỗ hổng trong phần mềm xử lý văn bản Hangul Hàn Quốc(do Hancom phát triển). Một chiến thuật khác là gửi Phishing lừa đảo có chứa phần mềm độc hại, nhắm vào sinh viên Hàn Quốc và người dùng nền tảng giao dịch crypto như Coinlink.
Nếu người dùng mở phần mềm độc hại, địa chỉ email và mật khẩu của họ có thể bị đánh cắp. Coinlink đã phủ nhận việc trang web của mình hoặc địa chỉ email và mật khẩu của người dùng bị hacker. Báo cáo kết luận: "Sê-Ri các cuộc tấn công vào cuối năm 2017 này chứng tỏ quốc gia này vẫn tiếp tục quan tâm đến crypto, mà hiện chúng ta biết là bao gồm nhiều hoạt động khác nhau như khai thác, tấn công bằng phần mềm tống tiền và trộm cắp trắng trợn..." Báo cáo cũng nêu rõ rằng quốc gia này đã sử dụng các cuộc tấn công crypto này để lách các lệnh trừng phạt tài chính quốc tế.
Vào tháng 2 năm 2017, hacker từ một quốc gia nào đó đã đánh cắp 7 triệu đô la từ nền tảng giao dịch crypto Bithumb Hàn Quốc . Một sàn giao dịch Bitcoin khác Hàn Quốc , Youbit, đã bị tấn công vào tháng 4 năm 2017 và phải nộp đơn xin phá sản vào tháng 12 cùng năm sau khi 17% tài sản bị đánh cắp. Nhóm Lazarus và hacker Trung Quốc bị cáo buộc đứng sau các vụ tấn công. Vào tháng 12 năm 2017, thị trường khai thác crypto đám mây Nicehash đã mất hơn 4.500 Bitcoin. Bản cập nhật điều tra cho thấy lần tấn công có liên quan đến Nhóm Lazarus.
Các cuộc tấn công tháng 9 năm 2019
Vào giữa tháng 9 năm 2019, Hoa Kỳ đã ban hành cảnh báo công khai về việc phát hiện ra một phần mềm độc hại mới có tên "ElectricFish". Kể từ đầu năm 2019, các điệp viên của một quốc gia nào đó đã thực hiện năm vụ trộm cắp mạng lớn trên toàn thế giới, trong đó vụ trộm thành công 49 triệu đô la từ một tổ chức ở Kuwait.
Các cuộc tấn công của công ty dược phẩm vào cuối năm 2020
Khi đại dịch COVID-19 tiếp tục lan rộng, các công ty dược phẩm đã trở thành mục tiêu chính của Tập đoàn Lazarus. Các thành viên của Nhóm Lazarus đã sử dụng các kỹ thuật Phishing, đóng giả là cán bộ y tế và gửi các liên kết độc hại đến nhân viên của các công ty dược phẩm. Một số công ty dược phẩm lớn được cho là đã trở thành mục tiêu, nhưng cho đến nay chỉ có công ty AstraZeneca của Anh và Thụy Điển được xác nhận. Theo Reuters, nhiều nhân viên đã bị nhắm tới, trong đó đó có nhiều người tham gia vào quá trình phát triển vắc-xin phòng ngừa virus corona mới. Không rõ mục đích của Nhóm Lazarus khi tiến hành các cuộc tấn công này là gì, nhưng chúng có thể bao gồm việc đánh cắp thông tin nhạy cảm để kiếm lợi, thực hiện các âm mưu tống tiền và cho phép các chế độ nước ngoài tiếp cận các nghiên cứu độc quyền liên quan đến vi-rút corona. AstraZeneca vẫn chưa bình luận về sự cố này và các chuyên gia cho rằng rằng không có dữ liệu nhạy cảm nào bị rò rỉ.
Các cuộc tấn công vào các nhà nghiên cứu an ninh mạng vào tháng 1 năm 2021
Vào tháng 1 năm 2021, cả Google và Microsoft đều công khai báo cáo rằng một nhóm hacker từ một quốc gia nào đó đã phát động một cuộc tấn công vào các nhà nghiên cứu an ninh mạng thông qua các phương tiện kỹ thuật xã hội. Microsoft chỉ rõ rằng cuộc tấn công được thực hiện bởi Lazarus Group.
Hacker đã tạo nhiều hồ sơ người dùng trên các nền tảng như Twitter, GitHub và LinkedIn, đóng giả là các nhà nghiên cứu lỗ hổng phần mềm hợp pháp và tương tác với các bài đăng và nội dung do những người khác trong cộng đồng nghiên cứu bảo mật đăng tải. Sau đó, chúng sẽ liên hệ trực tiếp với các nhà nghiên cứu bảo mật cụ thể, giả vờ là đang cộng tác nghiên cứu và lừa nạn nhân tải xuống các tệp có chứa phần mềm độc hại hoặc truy cập các bài đăng trên blog trên các trang web do hacker kiểm soát.
Một số nạn nhân đã truy cập bài đăng trên blog cho biết máy tính của họ đã bị xâm phạm mặc dù sử dụng phiên bản đã vá đầy đủ của trình duyệt Google Chrome, điều này cho thấy hacker có thể đã khai thác lỗ hổng bảo mật zero-day chưa từng được biết đến của Chrome trước đây; tuy nhiên, tại thời điểm báo cáo, Google cho biết họ không thể xác định phương pháp xâm phạm cụ thể.
Axie Infinity tấn công Gamefi năm 2022
Vào tháng 3 năm 2022, Tập đoàn Lazarus bị cáo buộc đánh cắp 620 triệu đô la crypto từ mạng lưới Ronin được trò chơi Axie Infinity sử dụng. "Thông qua cuộc điều tra, chúng tôi xác định rằng Nhóm Lazarus và APT38 (nhóm tin tặc có liên quan đến Triều Tiên) đứng sau vụ trộm lần", FBI cho biết.
Cuộc tấn công cầu Horizon vào tháng 6 năm 2022
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã xác nhận rằng nhóm tin tặc nguy hiểm người Triều Tiên Lazarus Group, còn được gọi là APT38, đứng sau vụ đánh cắp 100 triệu đô la tiền ảo từ Horizon Bridge của Harmony, được báo cáo vào ngày 24 tháng 6 năm 2022.
Các cuộc tấn công crypto liên quan khác vào năm 2023
Một báo cáo do nền tảng bảo mật blockchain Immunefi công bố nêu rõ rằng Lazarus Group đã gây ra thiệt hại hơn 300 triệu đô la trong các cuộc tấn công hacker crypto vào năm 2023, chiếm 17,6% tổng thiệt hại trong năm đó.
Cuộc tấn công Atomic Wallet vào tháng 6 năm 2023: Vào tháng 6 năm 2023, hơn 100 triệu đô la crypto đã bị đánh cắp từ người dùng dịch vụ Atomic Wallet, một sự cố sau đó đã được FBI xác nhận.
Hacker Stake vào tháng 9 năm 2023: Vào tháng 9 năm 2023, FBI xác nhận rằng số crypto trị giá 41 triệu đô la đã bị đánh cắp từ sòng bạc trực tuyến và nền tảng cờ bạc Stake và thủ phạm là Lazarus Group.
Lệnh trừng phạt của Hoa Kỳ
Vào ngày 14 tháng 4 năm 2022, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) Bộ Ngân khố Hoa Kỳ đã thêm Tập đoàn Lazarus vào Danh sách Công dân được Chỉ định Đặc biệt (Danh sách SDN) theo Mục 510.214 của quy định trừng phạt của quốc gia.
Các cuộc tấn công crypto vào năm 2024
Theo báo cáo của phương tiện truyền thông Ấn Độ, một sàn giao dịch crypto địa phương có tên WazirX đã bị tổ chức này tấn công và đánh cắp tài sản crypto trị giá 234,9 triệu đô la.
Đào tạo nhân sự
Có tin đồn rằng một số hacker Triều Tiên sẽ được gửi đến Thẩm Dương, Trung Quốc để đào tạo chuyên nghiệp về cách cấy nhiều loại phần mềm độc hại khác nhau vào máy tính, mạng máy tính và máy chủ. Ở Bắc Triều Tiên, Đại học Công nghệ Kim Chaek, Đại học Kim Il Sung và Đại học Mangyongdae chịu trách nhiệm về các nhiệm vụ giáo dục có liên quan. Các trường đại học này tuyển chọn những sinh viên giỏi nhất trên khắp cả nước và cung cấp cho họ sáu năm giáo dục đặc biệt. Ngoài chương trình giáo dục đại học, "một số lập trình viên giỏi nhất...được gửi đến Đại học Mangyongdae hoặc Cao đẳng Mirim để học lên cao hơn."
Chi nhánh tổ chức
Người ta cho rằng Nhóm Lazarus có hai nhánh.
BlueNorTắt
BlueNorOff (còn được gọi là APT38, “Star Maxima”, “BeagleBoyz”, “NICKEL GLADSTONE”) là một nhóm có động cơ tài chính thực hiện chuyển tiền bất hợp pháp bằng ngụy tạo hướng dẫn của Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT). Mandiant gọi nó là APT38, trong khi Crowdstrike gọi nó là "Star Maxima".
Theo báo cáo năm 2020 của Quân đội Hoa Kỳ, BlueNorOff có khoảng 1.700 thành viên tập trung vào đánh giá và khai thác dài hạn các lỗ hổng và hệ thống mạng của đối phương, tham gia vào các hoạt động tội phạm mạng tài chính để thu lợi nhuận cho chế độ của quốc gia hoặc kiểm soát các hệ thống liên quan. Trong giai đoạn 2014-2021, mục tiêu của họ bao gồm 16 tổ chức tại ít nhất 13 quốc gia, bao gồm Bangladesh, Chile, Ấn Độ, Mexico, Pakistan, Philippines, Hàn Quốc, Đài Hàn Quốc, Thổ Nhĩ Kỳ và Việt Nam. Người ta tin rằng số tiền bất hợp pháp này đã được sử dụng để tài trợ cho việc phát triển công nghệ tên lửa và hạt nhân của đất nước.
Cuộc tấn công khét tiếng nhất của BlueNorOff là vụ cướp ngân hàng năm 2016 khi chúng cố gắng chuyển bất hợp pháp gần 1 tỷ đô la từ tài khoản ngân hàng trung ương của một quốc gia tại Ngân hàng Dự trữ Liên bang New York thông qua mạng lưới SWIFT. Sau khi một số giao dịch được hoàn tất thành công (20 triệu đô la được chuyển đến Sri Lanka và 81 triệu đô la được chuyển đến Philippines), Ngân hàng Dự trữ Liên bang New York bắt đầu nghi ngờ vì có lỗi chính tả trong một hướng dẫn và đã chặn phần còn lại.
Phần mềm độc hại liên quan đến BlueNorOff bao gồm: DarkComet, Mimikatz, Nestegg, Macktruck, WannaCry, Whiteout, Quickcafe, Rawhide, Smoothride, TightVNC, Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe, sysmon, Bootwreck, Cleantoad, Closeshave, Dyepack, Hermes, Twopence, Electricfish, Powerratankba, Powerspritz, v.v.
Các phương pháp phổ biến của BlueNorOff bao gồm: Phishing, thiết lập cửa hậu, khai thác lỗ hổng, tấn công watering hole, sử dụng các phiên bản Apache Struts 2 lỗi thời và không an toàn để thực thi mã trên hệ thống, tấn công có chủ đích vào các trang web và truy cập vào máy chủ Linux. Có báo cáo rằng đôi khi họ làm việc với hacker tội phạm.
VàAriel
AndAriel, còn được gọi là Andarial, hay còn gọi là Silent Chollima, Dark Seoul, Rifle và Wassonite, đặc trưng nhìn lên của nó là nhắm vào Hàn Quốc. Biệt danh "Silent Maxima" của Andril xuất phát từ bản chất bí mật của nhóm.[70] Bất kỳ tổ chức nào ở Hàn Quốc cũng có thể bị Andril tấn công, bao gồm các bộ ngành chính phủ, cơ quan quốc phòng và nhiều tổ chức kinh tế quan trọng.
Theo báo cáo năm 2020 của Quân đội Hoa Kỳ, Andril có khoảng 1.600 thành viên có nhiệm vụ trinh sát, đánh giá lỗ hổng mạng và lập bản đồ mạng lưới của kẻ thù để phát hiện các cuộc tấn công tiềm tàng. Ngoài Hàn Quốc, chúng còn nhắm vào chính phủ, cơ sở hạ tầng và doanh nghiệp ở nhiều quốc gia khác. Các phương pháp tấn công bao gồm: khai thác các điều khiển ActiveX, lỗ hổng phần mềm Hàn Quốc, tấn công watering hole, Phishing qua thư điện tử (phương pháp tấn công virus macro), tấn công vào các sản phẩm quản lý CNTT (như phần mềm diệt vi-rút, phần mềm quản lý dự án) và tấn công thông qua Chuỗi cung ứng (trình cài đặt và trình cập nhật). Các phần mềm độc hại được sử dụng bao gồm: Aryan, Gh0st RAT, Rifdoor, Phandoor và Andarat.
Khởi kiện những người có liên quan
Vào tháng 2 năm 2021, Bộ Tư pháp Hoa Kỳ khởi kiện ba thành viên của Tổng cục Trinh sát, cơ quan tình báo quân sự của Triều Tiên - Park Jin Hyok, Jon Chang Hyok và Kim Il Park - vì liên quan đến nhiều chiến dịch hacker của Nhóm Lazarus (Lazarus). Park Jin-hyuk đã bị khởi kiện vào đầu tháng 9 năm 2018. Hiện tại không có nghi phạm nào bị giam giữ tại Hoa Kỳ. Ngoài ra, một người Canada và hai công dân Trung Quốc cũng bị buộc tội hoạt động như người chuyển tiền và rửa tiền cho Tập đoàn Lazarus.
