Lazarus Group | |
---|---|
나사로 그룹 | |
Thành lập | k. 2009[1] |
Loại | Advanced persistent threat |
Mục đích | Cyberespionage, cyberwarfare |
Vùng | Pyongyang |
Phương pháp | Zero-days, spearphishing, malware, disinformation, backdoors, droppers |
Ngôn ngữ chính | Korean |
Chủ quản | Reconnaissance General Bureau |
TC liên quan | Unit 180, AndAriel (group) |
Tên trước đây | APT38 Gods Apostles Gods Disciples Guardians of Peace ZINC Whois Team Hidden Cobra |
Nhóm tin tặc Lazarus là một nhóm tội phạm trên mạng được hình thành từ một số lượng cá nhân không rõ. Mặc dù không có nhiều thông tin về nhóm Lazarus, các nhà nghiên cứu cho rằng nhiều cuộc tấn công không gian mạng tới từ họ trong thập kỷ qua. Cuộc tấn công sớm nhất được biết đến mà nhóm này chịu trách nhiệm được gọi là "Operation Troy", diễn ra từ năm 2009-2012. Đây là một chiến dịch gián điệp qua mạng sử dụng các kỹ thuật DDoS (Tấn công từ chối dịch vụ) tinh vi mà mục tiêu là chính phủ Hàn Quốc ở Seoul. Họ cũng chịu trách nhiệm về các cuộc tấn công vào năm 2011 và 2013. Có thể là họ cũng đứng sau một cuộc tấn công năm 2007 nhắm vào Hàn Quốc, nhưng vẫn chưa chắc chắn [1]. Một cuộc tấn công đáng chú ý mà nhóm được biết đến là cuộc tấn công năm 2014 vào Sony Pictures. Cuộc tấn công vào Sony sử dụng các kỹ thuật phức tạp hơn và làm nổi bật mức độ tiên tiến mà nhóm phát triển theo thời gian. Vụ tấn công gần đây nhất được cho là do nhóm này là vụ Trộm tiền ngân hàng trung ương Bangladesh năm 2016 [2], đánh cắp thành công 81 triệu USD.
Không rõ ai là người thực sự đứng sau nhóm, nhưng báo cáo của giới truyền thông đã gợi ý nhóm này có liên kết với Bắc Triều Tiên.[3][4] Kaspersky Lab báo cáo vào năm 2017 rằng Lazarus có xu hướng tập trung vào các cuộc tấn công không gian mạng gián điệp và xâm nhập trong khi một nhóm nhỏ trong tổ chức của họ, mà Kaspersky gọi là Bluenoroff, chuyên về các cuộc tấn công không gian tài chính. Kaspersky phát hiện ra nhiều cuộc tấn công trên toàn thế giới và một liên kết trực tiếp (địa chỉ IP) giữa Bluenoroff và Bắc Triều Tiên.[5]
Tuy nhiên, Kaspersky cũng thừa nhận rằng sự lặp lại của mã này có thể là một "lá cờ giả" nhằm gây hiểu nhầm các nhà điều tra và đổ lỗi cho Bắc Triều Tiên. Xét cho cùng, các tác giả của WannaCry cũng chỉ lấy kỹ thuật từ NSA. Mã độc tống tiền này lợi dụng một khai thác độc hại NSA gọi là EternalBlue mà một nhóm hacker được gọi là Shadow Brokers công bố vào tháng trước.[6]