hacker lazarus

 

Jak dowiadujemy się z publikacji autorstwa The Next Web, niesławna grupa Lazarus, często kojarzona z terytorium Korei Północnej, mogła stać nawet za 5 z 14 największych ataków hakerskich na giełdy kryptowalutowe przeprowadzonych od początku 2017 roku.

 

Autorzy artykułu opublikowanego na stronie thenextweb, powołują się na mający ukazać się niebawem doroczny raport na temat aktualnych trendów dotyczących najnowocześniejszych technik cyberprzestępczości, autorstwa szanowanej firmy ds. cyberbezpieczeństwa, Group-IB.

 

Omawiany raport przytacza 14 ataków na giełdy kryptowalutowe, które przeprowadzono od stycznia 2017 roku. W ich wyniku łupem hakerów mogła paść równowartość nawet 882 milionów dolarów. Pięć z nich autorzy dokumentu przypisują właśnie grupie Lazarus, twierdząc, iż mogła ona ukraść w ten sposób równowartość około 571 milionów dolarów w kryptowalutach.

 

Wśród wymienionych ataków, za którymi mogła stać grupa Lazarus, specjaliści z Group-IB wymieniają również ten ze stycznia tego roku, wymierzony w japońską platformę Coincheck. W jednej z największych w historii kradzieży tego rodzaju hakerom mogło udać się wyprowadzić z adresów giełdy nawet 534 miliony dolarów w kryptowalucie NEM.

 

Pozostałe cztery giełdy, które miały paść ofiarą hakerów z Lazarus pochodzą, co ciekawe, wyłącznie z Korei Południowej, są to: Yapizon (skradzione 5,3 mln dolarów; atak z kwietnia 2017 r.), Coinis (atak z września 2017), YouBit (skradzione 17% wszystkich aktywów giełdy; grudzień 2017 r.) oraz Bithumb (32 mln $, czerwiec 2018 r.).

 

Jak zauważa raport Group-IB, hakerzy mający na celu giełdy kryptowalutowe używają najczęściej tradycyjnych narzędzi, takich jak: spear phishing, inżynieria społeczna czy malware.

 

Spear phishing pozostaje głównym wektorem ataków na sieci korporacyjne. Dla przykładu, oszuści dostarczają malware pod przykrywką spamu CV [z załącznikiem], który zawiera malware osadzone w dokumencie. Po uzyskaniu dostępu do sieci lokalnej, hakerzy przeszukują ją w poszukiwaniu stacji [roboczych] i serwerów wykorzystywanych do pracy z kluczami prywatnymi portfeli” – odczytujemy w raporcie.

 

Group-IB prognozuje w najbliższym czasie wzrost liczby ataków na giełdy kryptowalutowe, nie tylko tych, za których winą obarcza się grupę Lazarus. Eksperci ostrzegają, iż najbardziej agresywne grupy hakerów, znane dotychczas z ataków na banki, zachęcone możliwością lukratywnych zysków, skierują teraz swoją uwagę właśnie w stronę platform kryptowalutowych.

 

Omawiany raport ujawnia również, iż łupem hakerów padają także tokeny dystrybułowane podczas zbiórek ICO (Initial Coin Offerings). W ostatnich 18 miesiącach było to aż 10 procent wszystkich środków pochodzących z tego typu dystrybucji. Do większości kradzieży tego rodzaju dochodzi z wykorzystaniem narzędzi typu phishing, zaś największe grupy hakerskie są w stanie za ich pomocą przywłaszczyć sobie środki o równowartości nawet 1 miliona dolarów miesięcznie.

 

Cyber-oszuści stają się również coraz bardziej pomysłowi, a na ich celowniku nie muszą znajdować się bezpośrednio środki kryptowalutowe. Analiza Group-IB ujawnia również przypadki kradzieży rekordów z baz danych, sprzedawanych następnie na platformach w sieci Darknet lub też wykorzystywanych do szantażowania posiadaczy kryptowalut.

 

Kryminaliści posuwają się niekiedy także do tworzenia fałszywych dystrybucji ICO z wykorzystaniem skradzionych dokumentów specyfikacji projektów (tzw. whitepaper), umieszczanych na spreparowanych, często podszywających się pod autentyczne, domenach internetowych.

 

Najwcześniejsze ataki kojarzone z grupą Lazarus sięgają nawet 2007 roku. W ciągu ostatniego dziesięciolecia jej akcje miały obejmować między innymi: działania szpiegowskie, ataki typu DDoS, ataki na międzynarodowe instytucje finansowe oraz banki (w tym te na terenie Polski), ataki na stacje medialne, fabryki oraz manufaktury, głównie w takich krajach jak: Korea Południowa, Indie, Chiny, Brazylia, Rosja czy Turcja.

 

Natura zaawansowanych cyber-ataków nie pozwala ze 100% pewnością określić skąd, jak i przez kogo zostały przeprowadzone, jednakże wiele analiz wykonanych w tym kierunku, w tym ta przeprowadzona m.in. przez Kaspersky Lab, skłania do kojarzenia grupy Lazarus głównie z terytorium Korei Północnej.

 

Grupa mogła mieć swój udział również w słynnym ataku hakerskim na serwery Sony Pictures z listopada 2014 roku. Lazarus łączy się niekiedy także ze słynnym atakiem WannaCry, którego ofiarą mogło paść nawet ponad 300 tysięcy komputerów w niemal 100 krajach. Raport autorstwa specjalistów z firmy Symantec z 2017 roku określił tego rodzaju scenariusz mianem „wysoce prawdopodobnego”.