Lazarus — хакеры, пополняющие казну КНДР
Обычно кража денег через взлом компьютерных систем создает в голове образ людей, по разным причинам зарабатывающих на жизнь криминальными методами. Ключевые слова — «на жизнь». Группа Lazarus или APT38 — тот редкий случай, когда точно такие же люди зарабатывают на жизнь не себе, а целому государству, Северной Корее.
Госхакеры сегодня уже не редкость и даже норма — в ТОП-5 стран, из которых исходит больше всего кибератак (Россия, Украина, Китай, США и Северная Корея) все обладают разных масштабов киберподразделениями в военных структурах. Кто-то даже аутсорсит атаки традиционному криминалу, но ни одна из этих стран не живет засчет кибератак, кроме КНДР.
Согласно перебежчику, работавшему более 30 лет в разведке КНДР, у страны с не более 1000 IP-адресов есть более 7000 хакеров в казармах, работающих на благо Кимов ядерной программы страны с 8 утра до глубокой ночи, а иногда и вовсе без сна. В кастовой системе страны всего 3 варианта выбиться в люди для тех, кому не свезло родиться потомком воевавших за независимость от Японии после второй мировой: спорт, искусство и кодинг.
К спортсменам и музыкантам с актерами программисты присоединились в 90-е, когда после развала СССР страна была в катастрофическом дефиците. Еще в 70-х глава КНДР Ким Чен Ир начал автоматизировать промышленность, посылая студентов изучать программирование в Россию, Китай и ГДР, а с приходом кризиса началась переквалификация программистов в хакеры.
Lazarus, замеченные на DDoS-атаках на сайты США и Южной Кореи в 2009, изначально считались обычной хак-группой, но связи с КНДР начали всплывать после взлома Sony Pictures в 2014, когда группа, назвавшаяся Guardians of Peace (Стражи мира), опубликовала 4 невыпущенных фильма Sony, сценарии тех, что в разработке и персональные данные более чем 4000 сотрудников кинокомпании.
По словам участника атаки, они были в сети Sony более года и это было лишь предупреждение: любой, кто осмелится пустить в прокат фильм Интервью (2014), будет наказан. Sony, как и прокатчики, сначала отменила показ, но затем все же провела его в ограниченном видео и выпустила фильм, в основном, в цифровом виде, ставшим по иронии самым успешным в истории компании.
В 2016 те же корейцы чуть не вывели почти миллиард долларов США из Центробанка Бангладеша. Из более 30 транзакций на $951 млн им реально унести им удалось "лишь" $81 млн, но атака вошла в историю, как крупнейшая попытка ограбления банка. Помимо Бангладеша, Lazarus обокрали и банки Польши, Вьетнама, Тайваня и Мексики.
Lazarus приписывают и глобальную атаку червя WannyCry в 2017. Червь шифровал данные и требовал выкуп в BTC, начиная от $300. Авторы атаки использовали слитые у АНБ США эксплойты EternalBlue и DoublePulsar для распространения и активации червя. Действий ни от атакующего, ни от жертв не требовалось — червю было достаточно открытого порта 445 с уязвимой версией протокола для передачи файлов в Windows.
Захватив более 200000 компьютеров за 7 часов атаки, WannaCry имел колоссальный потенциал к заражению, но был остановлен необычно простым способом: безопасник обнаружил в нем проверку регистрации определенного домена — если тот зарегистрирован, то шифрования данных не происходило. Домен зарегистрировали, и червь тотчас остановил свою работу.
В 2020 корейские киберкрасноармейцы пытались украсть у Phizer формулу вакцины от ковида. Последние годы Lazarus занимает первую строчку в инцидентах в мире криптовалют: в 2022 они увели у сети Ronin $624 млн и у Horizon — $100 млн. Еще более $500 млн они унесли за 2023 и 2024 годы.
