แหล่งที่มา : วิกิพีเดีย
คำแปลต้นฉบับ: Yobo, Foresight News
เนื้อหาต่อไปนี้แปลมาจากรายการ Wikipedia Lazarus Group:
กลุ่ม Lazarus (ที่รู้จักในชื่อ “Guardians” หรือ “Peace หรือ Whois Team”) เป็นกลุ่มแฮกเกอร์ที่ประกอบด้วยบุคคลจำนวนไม่ทราบจำนวน โดยอ้างว่าถูกควบคุมโดยรัฐบาลเกาหลีเหนือ แม้ว่าจะยังมีข้อมูลน้อยมากเกี่ยวกับกลุ่มนี้ แต่ผู้วิจัยระบุว่าพวกเขาถูกโจมตีทางไซเบอร์หลายครั้งตั้งแต่ปี 2010
เดิมทีกลุ่มนี้เป็นกลุ่มอาชญากร แต่ปัจจุบันได้รับการกำหนดให้เป็นกลุ่มคุกคามอย่างต่อเนื่องขั้นสูง เนื่องมาจากเจตนาในการโจมตี ภัยคุกคามที่เกิดขึ้น และวิธีการต่างๆ ที่ใช้ในการดำเนินการ หน่วยงานด้านความปลอดภัยทางไซเบอร์ได้ตั้งชื่อเล่นให้พวกเขา เช่น “Hidden Cobra” (ชื่อที่กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ ใช้เรียกกิจกรรมทางไซเบอร์อันเป็นอันตรายที่เปิดตัวโดยรัฐบาลเกาหลีเหนือ) และ “ZINC” หรือ “Diamond Sleet” (คำศัพท์ของ Microsoft) กลุ่มนี้เป็นที่รู้จักในเกาหลีเหนือในชื่อ “สำนักงานประสานงาน 414” ตามที่คิม กุกซอง ผู้แปรพักตร์จากประเทศนั้นกล่าว
กลุ่มลาซารัสมีความสัมพันธ์ใกล้ชิดกับเกาหลีเหนือ กระทรวงยุติธรรมของสหรัฐฯ กล่าวหาว่ากลุ่มดังกล่าวเป็นส่วนหนึ่งของกลยุทธ์ของรัฐบาลเกาหลีเหนือในการ ทำลายความปลอดภัยทางไซเบอร์ระดับโลก...และสร้างรายได้ที่ผิดกฎหมายซึ่งละเมิดมาตรการคว่ำบาตร เกาหลีเหนือได้รับประโยชน์มากมายจากการดำเนินการทางไซเบอร์ และจำเป็นต้องรักษาทีมงานขนาดเล็กไว้เพียงเท่านั้นเพื่อสร้างภัยคุกคามแบบไม่สมดุล ระดับโลก (โดยเฉพาะอย่างยิ่งต่อเกาหลีใต้)
ประวัติการพัฒนา
การโจมตีครั้งแรกที่ทราบของกลุ่มคือปฏิบัติการทรอยระหว่างปี 2009 ถึง 2012 นี่เป็นแคมเปญจารกรรมทางไซเบอร์ที่ใช้เทคนิคการปฏิเสธการให้บริการแบบกระจาย (DDoS) ที่ไม่ซับซ้อนเพื่อโจมตีรัฐบาลเกาหลีใต้ในกรุงโซล ในปี 2011 และ 2013 พวกเขาก็เปิดการโจมตีเช่นกัน แม้ว่าจะไม่สามารถยืนยันได้ แต่การโจมตีเกาหลีใต้เมื่อปี 2550 อาจเป็นฝีมือพวกเขาเอง การโจมตีที่น่าสังเกตครั้งหนึ่งของกลุ่มเกิดขึ้นในปี 2014 โดยมีเป้าหมายเป็นบริษัท Sony Pictures การโจมตีครั้งนี้ใช้เทคนิคที่ซับซ้อนมากขึ้นและแสดงให้เห็นว่ากลุ่มมีความเป็นผู้ใหญ่มากขึ้นตามกาลเวลา
ในปี 2558 มีรายงานว่ากลุ่ม Lazarus ขโมยเงิน 12 ล้านเหรียญจาก Banco Ostello ในเอกวาดอร์ และอีก 1 ล้านเหรียญจาก Pioneer Bank ในเวียดนาม พวกเขายังมุ่งเป้าไปที่ธนาคารในโปแลนด์และเม็กซิโกด้วย ในการโจรกรรมธนาคารเมื่อปี 2016 พวกเขาโจมตีธนาคารแห่งหนึ่งและขโมยเงินได้สำเร็จถึง 81 ล้านดอลลาร์ ซึ่งเชื่อกันว่าเป็นผลงานของกลุ่มนี้ด้วย ในปี 2017 มีรายงานว่ากลุ่ม Lazarus ขโมยเงิน 60 ล้านเหรียญจากธนาคาร Far Eastern International Commercial Bank ของไต้หวัน แม้ว่าจำนวนเงินที่ถูกขโมยไปจริงจะไม่ชัดเจน และเราสามารถกู้คืนเงินได้เกือบหมดแล้ว
ยังไม่ชัดเจนว่าใครอยู่เบื้องหลังกลุ่มนี้ แต่รายงานสื่อระบุว่ากลุ่มนี้มีความสัมพันธ์ใกล้ชิดกับเกาหลีเหนือ ในปี 2017 บริษัท Kaspersky Lab รายงานว่ากลุ่ม Lazarus มักจะเน้นไปที่การจารกรรมและการโจมตีทางไซเบอร์แบบแทรกซึม ในขณะที่องค์กรย่อยภายในกลุ่ม ซึ่ง Kaspersky เรียกว่า Bluenoroff มีความเชี่ยวชาญด้านการโจมตีทางไซเบอร์ในด้านการเงิน Kaspersky ค้นพบการโจมตีหลายครั้งทั่วโลก และพบลิงก์ที่อยู่ IP โดยตรงระหว่าง Bluenoroff และประเทศนั้น
อย่างไรก็ตาม Kaspersky ยอมรับว่าการนำโค้ดมาใช้ซ้ำอาจเป็น ปฏิบัติการหลอกลวง ที่มุ่งเป้าไปที่การหลอกลวงผู้สืบสวนและทำให้เกาหลีเหนือต้องรับผิด เพราะการโจมตีทางไซเบอร์ด้วยเวิร์ม WannaCry ทั่วโลกนั้นก็ลอกเลียนเทคโนโลยีของหน่วยงานความมั่นคงแห่งชาติของสหรัฐฯ แรนซัมแวร์ใช้ประโยชน์จากช่องโหว่ EternalBlue ของ NSA ซึ่งเปิดเผยต่อสาธารณะในเดือนเมษายน 2017 โดยกลุ่มแฮกเกอร์ที่เรียกว่า Shadow Brokers ในปี 2017 Symantec รายงานว่าการโจมตี WannaCry น่าจะดำเนินการโดยกลุ่ม Lazarus
ปฏิบัติการทรอย 2009
เหตุการณ์แฮ็กครั้งใหญ่ครั้งแรกของกลุ่ม Lazarus เกิดขึ้นเมื่อวันที่ 4 กรกฎาคม พ.ศ. 2552 ซึ่งถือเป็นจุดเริ่มต้นของ ปฏิบัติการทรอย การโจมตีใช้มัลแวร์ “MyDoomsday” และ “Bulldozer” ในการเปิดตัวการโจมตี DDoS ขนาดใหญ่แต่ไม่ซับซ้อนบนเว็บไซต์ในสหรัฐอเมริกาและเกาหลีใต้ การโจมตีครั้งนี้มีเป้าหมายที่เว็บไซต์ประมาณ 36 แห่ง และฝังข้อความ การรำลึกวันประกาศอิสรภาพ ไว้ในมาสเตอร์บูตเรคคอร์ด (MBR)
การโจมตีทางไซเบอร์ในเกาหลีใต้ปี 2013 (ปฏิบัติการ 1/ดาร์กโซล)
เมื่อเวลาผ่านไป การโจมตีของกลุ่มก็ซับซ้อนมากขึ้น เทคนิคและเครื่องมือของพวกเขาก็สมบูรณ์แบบและมีประสิทธิภาพมากขึ้น การโจมตี “สิบวันแห่งฝน” ในเดือนมีนาคม พ.ศ. 2554 ซึ่งมุ่งเป้าไปที่สื่อ การเงิน และโครงสร้างพื้นฐานที่สำคัญของเกาหลีใต้ ใช้การโจมตี DDoS ที่ซับซ้อนมากขึ้น ซึ่งมีต้นทางมาจากคอมพิวเตอร์ที่ถูกบุกรุกภายในเกาหลีใต้ เมื่อวันที่ 20 มีนาคม พ.ศ. 2556 ได้มีการเปิดตัว Operation Dark Seoul ซึ่งเป็นการโจมตีเพื่อล้างข้อมูลซึ่งกำหนดเป้าหมายไปที่บริษัทกระจายเสียง 3 แห่ง สถาบันการเงิน และผู้ให้บริการอินเทอร์เน็ต 1 แห่งในเกาหลีใต้ ในเวลานั้น มีกลุ่มอื่นอีกสองกลุ่มที่เรียกตัวเองว่า New Rome CyberLegion และทีม WhoIs อ้างว่ารับผิดชอบในการโจมตีครั้งนี้ แต่ผู้วิจัยไม่ทราบว่ากลุ่ม Lazarus อยู่เบื้องหลังเรื่องนี้ ปัจจุบันนักวิจัยทราบว่ากลุ่มลาซารัสอยู่เบื้องหลังการโจมตีทำลายล้างเหล่านี้
ปลายปี 2014: Sony Pictures ถูกแฮ็ก
ในวันที่ 24 พฤศจิกายน 2557 การโจมตีของกลุ่มลาซารัสถึงจุดสุดยอด ในวันเดียวกัน มีโพสต์ปรากฏบน Reddit ระบุว่า Sony Pictures ถูกแฮ็กด้วยวิธีการที่ไม่ทราบแน่ชัด และผู้โจมตีเรียกตัวเองว่า “Guardians of Peace” ข้อมูลจำนวนมากถูกขโมยและรั่วไหลออกไปในช่วงไม่กี่วันหลังการโจมตี บุคคลที่อ้างตัวว่าเป็นสมาชิกกลุ่มดังกล่าวกล่าวในการสัมภาษณ์ว่าพวกเขาขโมยข้อมูลของ Sony มานานกว่าหนึ่งปีแล้ว
แฮกเกอร์สามารถเข้าถึงภาพยนตร์ที่ยังไม่ได้เผยแพร่ บทภาพยนตร์บางเรื่อง แผนการสร้างภาพยนตร์ในอนาคต ข้อมูลเงินเดือนของผู้บริหารบริษัท อีเมล และข้อมูลส่วนตัวของพนักงานประมาณ 4,000 คน
การสืบสวนต้นปี 2559: ปฏิบัติการบล็อคบัสเตอร์
“ปฏิบัติการบล็อคบัสเตอร์” ซึ่งเป็นกลุ่มบริษัทรักษาความปลอดภัยที่นำโดยโนเวตต้า ได้วิเคราะห์ตัวอย่างมัลแวร์ที่พบในเหตุการณ์ทางไซเบอร์ต่างๆ ทีมงานได้ใช้ข้อมูลนี้วิเคราะห์วิธีการทำงานของแฮ็กเกอร์ พวกเขาเชื่อมโยงกลุ่ม Lazarus เข้ากับการโจมตีหลายประเภทผ่านรูปแบบการนำโค้ดมาใช้ซ้ำ ตัวอย่างเช่น พวกเขาใช้อัลกอริธึมการเข้ารหัสที่ไม่ค่อยมีใครรู้จักบนอินเทอร์เน็ต ซึ่งก็คืออัลกอริธึมเข้ารหัส Karacas
คดีโจรกรรมทางไซเบอร์ของธนาคารในปี 2559
เมื่อเดือนกุมภาพันธ์ พ.ศ. 2559 เกิดเหตุการณ์ปล้นธนาคาร แฮกเกอร์ได้ส่งคำสั่งหลอกลวงจำนวน 35 รายการผ่านเครือข่าย Society for Worldwide Interbank Financial Telecommunication (SWIFT) เพื่อพยายามโอนเงินผิดกฎหมายเกือบ 1 พันล้านดอลลาร์จากบัญชีของธนาคารกลางแห่งหนึ่งในธนาคารกลางสหรัฐในนิวยอร์ก คำสั่งหลอกลวง 5 รายการจาก 35 รายการสามารถโอนเงินได้สำเร็จมูลค่า 101 ล้านเหรียญสหรัฐ รวมถึง 20 ล้านเหรียญสหรัฐไปยังศรีลังกา และ 81 ล้านเหรียญสหรัฐไปยังฟิลิปปินส์ ธนาคารกลางนิวยอร์กสั่งระงับธุรกรรมที่เหลืออีก 30 รายการ มูลค่า 850 ล้านดอลลาร์ หลังจากมีข้อสงสัยเกี่ยวกับคำสั่งที่สะกดผิด ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าวว่าผู้วางแผนเบื้องหลังการโจมตีครั้งนี้คือกลุ่ม Lazarus จากประเทศหนึ่ง
การโจมตีด้วยแรนซัมแวร์ “WannaCry” ในเดือนพฤษภาคม 2017
การโจมตีแบบ “WannaCry” เป็นการโจมตีทางไซเบอร์ด้วยแรนซัมแวร์ครั้งใหญ่เมื่อวันที่ 12 พฤษภาคม 2017 ซึ่งส่งผลกระทบต่อสถาบันจำนวนมากทั่วโลก ตั้งแต่ระบบบริการสุขภาพแห่งชาติ (NHS) ของสหราชอาณาจักร ไปจนถึงบริษัทโบอิ้งและแม้แต่บางมหาวิทยาลัยในประเทศจีน การโจมตีกินเวลานาน 7 ชั่วโมง 19 นาที ยูโรโพลประมาณการว่าการโจมตีครั้งนี้ส่งผลกระทบต่อคอมพิวเตอร์เกือบ 200,000 เครื่องใน 150 ประเทศ โดยภูมิภาคที่ได้รับผลกระทบหลักๆ ได้แก่ รัสเซีย อินเดีย ยูเครน และไต้หวัน นี่เป็นหนึ่งในการโจมตีด้วย crypto-worm ที่เก่าแก่ที่สุด Cryptoworms เป็นมัลแวร์ประเภทหนึ่งที่แพร่กระจายจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่านเครือข่าย โดยแพร่เชื้อไปยังคอมพิวเตอร์เครื่องอื่นโดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ โดยตรง ซึ่งในกรณีนี้คือใช้พอร์ต TCP 445 ไม่จำเป็นต้องคลิกลิงก์ที่เป็นอันตรายเพื่อติดไวรัสลงในคอมพิวเตอร์ เพราะมัลแวร์สามารถแพร่กระจายได้โดยอัตโนมัติ จากคอมพิวเตอร์เครื่องหนึ่งไปยังเครื่องพิมพ์ที่เชื่อมต่ออยู่ ไปยังคอมพิวเตอร์เครื่องอื่นๆ ที่อยู่ใกล้เคียงที่เชื่อมต่อกับเครือข่ายไร้สาย และอื่นๆ ช่องโหว่ในพอร์ต 445 ทำให้มัลแวร์แพร่กระจายได้อย่างอิสระภายในเครือข่ายภายใน ส่งผลให้คอมพิวเตอร์หลายพันเครื่องติดไวรัสอย่างรวดเร็ว การโจมตี WannaCry ถือเป็นการโจมตีครั้งแรกๆ ที่ใช้ crypto-worm ในระดับใหญ่
การโจมตี: ไวรัสใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการ Windows จากนั้นเข้ารหัสข้อมูลคอมพิวเตอร์และเรียกร้องเงินประมาณ 300 ดอลลาร์เป็น Bitcoin สำหรับคีย์การถอดรหัส เพื่อกระตุ้นให้เหยื่อจ่ายเงิน ค่าไถ่จะเพิ่มเป็นสองเท่าหลังจากสามวัน และหากไม่ชำระเงินภายในหนึ่งสัปดาห์ มัลแวร์จะลบไฟล์ข้อมูลที่เข้ารหัส มัลแวร์ใช้ซอฟต์แวร์ถูกกฎหมายที่พัฒนาโดย Microsoft ที่เรียกว่า Windows Crypto เพื่อเข้ารหัสไฟล์ หลังจากการเข้ารหัสเสร็จสิ้น ชื่อไฟล์จะขึ้นต้นด้วย Wincry ซึ่งเป็นที่มาของชื่อ WannaCry Wincry เป็นพื้นฐานของการเข้ารหัส แต่มัลแวร์ยังใช้ประโยชน์จากช่องโหว่อื่นอีกสองช่อง ได้แก่ EternalBlue และ DoublePulsar ทำให้มันกลายเป็นเวิร์มเข้ารหัส “EternalBlue” สามารถแพร่กระจายไวรัสผ่านเครือข่ายได้โดยอัตโนมัติ ในขณะที่ “Double Pulsar” จะกระตุ้นให้ไวรัสทำงานบนคอมพิวเตอร์ของเหยื่อ กล่าวอีกนัยหนึ่ง EternalBlue ส่งลิงก์ที่ติดไวรัสไปยังคอมพิวเตอร์ของคุณ และ Double Pulsar จะคลิกลิงก์นั้นให้กับคุณ
หลังจากได้รับตัวอย่างไวรัสจากเพื่อนที่บริษัทวิจัยด้านความปลอดภัย นักวิจัยด้านความปลอดภัย Marcus Hutchins ได้ค้นพบว่า สวิตช์ฆ่า ถูกเขียนโค้ดแบบฮาร์ดโค้ดไว้ในไวรัส ซึ่งสามารถยุติการโจมตีได้ มัลแวร์จะตรวจสอบเป็นระยะๆ เพื่อดูว่ามีการลงทะเบียนโดเมนที่ระบุแล้วหรือไม่ และดำเนินการเข้ารหัสต่อเมื่อโดเมนนั้นยังไม่มีอยู่เท่านั้น ฮัทชินส์ค้นพบเช็คและจดทะเบียนโดเมนที่เกี่ยวข้องในเวลาต่อมาเมื่อเวลา 15:03 น. UTC มัลแวร์หยุดแพร่กระจายและแพร่ระบาดไปยังอุปกรณ์ใหม่ทันที สถานการณ์นี้ถือว่าน่าสนใจมากและยังมีเบาะแสสำหรับการติดตามผู้สร้างไวรัสอีกด้วย โดยปกติแล้วการบล็อกมัลแวร์ต้องใช้เวลาต่อสู้ไปมาระหว่างแฮกเกอร์และผู้เชี่ยวชาญด้านความปลอดภัยเป็นเวลานานหลายเดือน ดังนั้น ชัยชนะที่ได้มาอย่างง่ายดายเช่นนี้จึงถือว่าไม่ได้คาดคิดมาก่อน อีกลักษณะที่ผิดปกติของการโจมตีครั้งนี้คือไม่สามารถกู้คืนไฟล์ได้แม้จะจ่ายค่าไถ่แล้วก็ตาม แฮกเกอร์ได้รับเงินค่าไถ่มาเพียง 160,000 เหรียญสหรัฐเท่านั้น ซึ่งทำให้หลายคนเชื่อว่าพวกเขาไม่ได้มีวัตถุประสงค์ทางการเงิน
ความง่ายในการแคร็กสวิตช์หยุดการทำงานและการจ่ายค่าไถ่เพียงเล็กน้อยทำให้หลายคนเชื่อว่าการโจมตีนั้นได้รับการสนับสนุนจากรัฐ แรงจูงใจไม่ใช่การชดเชยทางการเงินแต่เป็นการสร้างความวุ่นวาย หลังการโจมตี ผู้เชี่ยวชาญด้านความปลอดภัยได้ติดตามจุดอ่อน Double Pulsar ไปจนถึงหน่วยงานความมั่นคงแห่งชาติของสหรัฐฯ ซึ่งเดิมทีถูกพัฒนามาเป็นอาวุธทางไซเบอร์ ต่อมากลุ่มแฮกเกอร์ Shadow Brokers ได้ขโมยช่องโหว่นี้ไปและพยายามประมูล แต่ล้มเหลว สุดท้ายพวกเขาก็เปิดเผยช่องโหว่นี้ต่อสาธารณะโดยไม่คิดค่าใช้จ่าย ต่อมา NSA ได้แจ้งให้ Microsoft ทราบถึงช่องโหว่ดังกล่าว และ Microsoft ก็ได้ออกการอัปเดตในวันที่ 14 มีนาคม 2017 ไม่ถึงหนึ่งเดือนหลังจากการโจมตี แต่นั่นยังไม่เพียงพอ เนื่องจากไม่จำเป็นต้องอัปเดต จนถึงวันที่ 12 พฤษภาคม คอมพิวเตอร์ส่วนใหญ่ที่มีช่องโหว่ดังกล่าวก็ยังไม่ได้รับการแก้ไข ส่งผลให้การโจมตีสร้างความเสียหายอย่างมหาศาล
ผลที่ตามมา: ต่อมากระทรวงยุติธรรมของสหรัฐฯ และทางการอังกฤษได้ระบุว่าการโจมตี WannaCry นั้นเป็นผลงานของกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Lazarus Group
การโจมตีสกุลเงินดิจิทัลในปี 2017
ในปี 2018 Recorded Future ได้เผยแพร่รายงานที่เชื่อมโยงกลุ่ม Lazarus กับการโจมตีผู้ใช้สกุลเงินดิจิทัล Bitcoin และ Monero โดยเฉพาะในเกาหลีใต้ รายงานระบุว่าการโจมตีเหล่านี้มีความคล้ายคลึงทางเทคนิคกับการโจมตีครั้งก่อนๆ ที่ใช้แรนซัมแวร์ WannaCry และการโจมตี Sony Pictures กลวิธีอย่างหนึ่งที่แฮกเกอร์กลุ่ม Lazarus ใช้คือการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ประมวลผลคำภาษาเกาหลี Hangul (พัฒนาโดย Hancom) กลวิธีอีกประการหนึ่งคือการส่งเหยื่อล่อฟิชชิ่งที่มีมัลแวร์ โดยกำหนดเป้าหมายเป็นนักเรียนชาวเกาหลีใต้และผู้ใช้งานเว็บแลกเปลี่ยนสกุลเงินดิจิทัล เช่น Coinlink
หากผู้ใช้เปิดมัลแวร์ ที่อยู่อีเมลและรหัสผ่านของพวกเขาอาจถูกขโมยได้ Coinlink ปฏิเสธว่าเว็บไซต์ของตนหรือที่อยู่อีเมลและรหัสผ่านของผู้ใช้ถูกแฮ็ก รายงานสรุปว่า “การโจมตีชุดดังกล่าวในช่วงปลายปี 2560 แสดงให้เห็นว่าประเทศยังคงให้ความสนใจในสกุลเงินดิจิทัล ซึ่งปัจจุบันเราทราบแล้วว่าสกุลเงินดิจิทัลเหล่านี้ครอบคลุมถึงกิจกรรมต่างๆ มากมาย เช่น การขุด การโจมตีด้วยแรนซัมแวร์ และการโจรกรรมโดยตรง...” นอกจากนี้ รายงานยังระบุด้วยว่าประเทศใช้การโจมตีสกุลเงินดิจิทัลเหล่านี้เพื่อหลีกเลี่ยงการคว่ำบาตรทางการเงินระหว่างประเทศ
ในเดือนกุมภาพันธ์ พ.ศ. 2560 แฮกเกอร์จากประเทศหนึ่งได้ขโมยเงิน 7 ล้านเหรียญสหรัฐจากแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัล Bithumb ของเกาหลีใต้ Youbit ซึ่งเป็นเว็บแลกเปลี่ยน Bitcoin อีกเว็บหนึ่งของเกาหลีใต้ ถูกโจมตีในเดือนเมษายน 2017 และต้องยื่นฟ้องล้มละลายในเดือนธันวาคมของปีเดียวกัน หลังจากทรัพย์สินถูกขโมยไป 17% กลุ่ม Lazarus และแฮกเกอร์ชาวจีนถูกกล่าวหาว่าอยู่เบื้องหลังการโจมตีครั้งนี้ ในเดือนธันวาคม 2017 ตลาดการขุดสกุลเงินดิจิทัลบนคลาวด์ Nicehash สูญเสีย Bitcoin ไปมากกว่า 4,500 เหรียญ การสอบสวนล่าสุดเปิดเผยว่าการโจมตีมีความเชื่อมโยงกับกลุ่ม Lazarus
การโจมตีในเดือนกันยายน 2019
ในช่วงกลางเดือนกันยายน 2019 สหรัฐอเมริกาได้ออกการแจ้งเตือนสาธารณะเกี่ยวกับการค้นพบมัลแวร์ชนิดใหม่ที่เรียกว่า ElectricFish นับตั้งแต่ต้นปี 2562 ตัวแทนจากประเทศหนึ่งได้ดำเนินการโจรกรรมทางไซเบอร์ครั้งใหญ่ไปแล้ว 5 ครั้งทั่วโลก รวมถึงการโจรกรรมเงิน 49 ล้านเหรียญสหรัฐฯ จากสถาบันแห่งหนึ่งในคูเวตที่ประสบความสำเร็จ
บริษัทยาถูกโจมตีช่วงปลายปี 2020
ในขณะที่การระบาดของ COVID-19 ยังคงแพร่กระจาย บริษัทเภสัชกรรมได้กลายเป็นเป้าหมายหลักของ Lazarus Group สมาชิกกลุ่ม Lazarus ใช้เทคนิคการฟิชชิ่งแบบเจาะจง โดยแอบอ้างตัวเป็นเจ้าหน้าที่สาธารณสุข และส่งลิงก์ที่เป็นอันตรายไปยังพนักงานของบริษัทเภสัชกรรม เชื่อกันว่าบริษัทเภสัชกรรมขนาดใหญ่หลายแห่งตกเป็นเป้าหมาย แต่จนถึงขณะนี้มีเพียงบริษัท AstraZeneca สัญชาติอังกฤษ-สวีเดนเท่านั้นที่ได้รับการยืนยัน ตามรายงานของรอยเตอร์ พนักงานหลายคนตกเป็นเป้าหมาย โดยหลายคนมีส่วนเกี่ยวข้องกับการพัฒนาวัคซีนป้องกันไวรัสโคโรนาสายพันธุ์ใหม่ ยังไม่ชัดเจนว่าจุดประสงค์ของกลุ่ม Lazarus ในการเปิดฉากโจมตีครั้งนี้คืออะไร แต่ก็อาจรวมถึงการขโมยข้อมูลที่ละเอียดอ่อนเพื่อแสวงหาผลกำไร ดำเนินการกรรโชกทรัพย์ และเปิดโอกาสให้รัฐบาลต่างประเทศเข้าถึงงานวิจัยที่เป็นกรรมสิทธิ์ที่เกี่ยวข้องกับโคโรนาไวรัสได้ บริษัท AstraZeneca ยังไม่ได้แสดงความคิดเห็นใดๆ เกี่ยวกับเหตุการณ์ดังกล่าว และผู้เชี่ยวชาญเชื่อว่าไม่มีข้อมูลละเอียดอ่อนใดๆ รั่วไหลออกมา
การโจมตีนักวิจัยด้านความปลอดภัยไซเบอร์ในเดือนมกราคม 2021
ในเดือนมกราคม 2021 ทั้ง Google และ Microsoft ได้รายงานต่อสาธารณะว่ากลุ่มแฮกเกอร์จากประเทศหนึ่งได้เปิดฉากโจมตีนักวิจัยด้านความปลอดภัยทางไซเบอร์โดยใช้กลวิธีทางวิศวกรรมสังคม Microsoft ระบุอย่างชัดเจนว่าการโจมตีดังกล่าวดำเนินการโดยกลุ่ม Lazarus
แฮกเกอร์สร้างโปรไฟล์ผู้ใช้หลายรายการบนแพลตฟอร์มต่างๆ เช่น Twitter, GitHub และ LinkedIn โดยแอบอ้างตัวเป็นนักวิจัยช่องโหว่ของซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และโต้ตอบกับโพสต์และเนื้อหาที่โพสต์โดยผู้อื่นในชุมชนนักวิจัยด้านความปลอดภัย จากนั้นพวกเขาจะติดต่อกับนักวิจัยด้านความปลอดภัยโดยตรง โดยแอบอ้างว่าเป็นผู้ร่วมงานวิจัย และหลอกเหยื่อให้ดาวน์โหลดไฟล์ที่มีมัลแวร์ หรือเยี่ยมชมโพสต์บล็อกในเว็บไซต์ที่แฮกเกอร์ควบคุม
เหยื่อบางรายที่เข้าไปเยี่ยมชมโพสต์ในบล็อกดังกล่าวกล่าวว่าคอมพิวเตอร์ของตนถูกบุกรุก แม้ว่าจะใช้เบราว์เซอร์ Google Chrome เวอร์ชันที่แก้ไขครบถ้วนแล้วก็ตาม ซึ่งแสดงให้เห็นว่าแฮกเกอร์อาจใช้ประโยชน์จากช่องโหว่ zero-day ของ Chrome ที่ไม่เคยพบมาก่อน อย่างไรก็ตาม ในเวลาที่มีรายงานว่า Google กล่าวระบุว่าไม่สามารถระบุวิธีการบุกรุกที่เจาะจงได้
Axie Infinity โจมตีในเดือนมีนาคม 2022
ในเดือนมีนาคม 2022 กลุ่ม Lazarus ถูกกล่าวหาว่าขโมยสกุลเงินดิจิทัลมูลค่า 620 ล้านดอลลาร์จากเครือข่าย Ronin ที่ใช้โดยเกม Axie Infinity เอฟบีไอเผยว่า “จากการสืบสวนของเรา เราพบว่ากลุ่ม Lazarus และ APT 38 (ผู้ก่ออาชญากรรมทางไซเบอร์ที่เกี่ยวข้องกับเกาหลีเหนือ) อยู่เบื้องหลังการโจรกรรมครั้งนี้”
โจมตีสะพานฮอไรซอนในเดือนมิถุนายน 2565
FBI ได้ยืนยันว่ากลุ่มอาชญากรทางไซเบอร์ Lazarus Group จากเกาหลีเหนือ หรือที่รู้จักกันในชื่อ APT 38 อยู่เบื้องหลังการโจรกรรมสกุลเงินดิจิทัลมูลค่า 100 ล้านดอลลาร์จากสะพาน Horizon ของบริษัท Harmony ซึ่งมีการรายงานเมื่อวันที่ 24 มิถุนายน 2022
การโจมตีสกุลเงินดิจิทัลอื่นๆ ที่เกี่ยวข้องในปี 2023
รายงานที่เผยแพร่โดยแพลตฟอร์มความปลอดภัยบล็อคเชน Immunefi ระบุว่า Lazarus Group สร้างความสูญเสียมากกว่า 300 ล้านดอลลาร์จากการโจมตีแฮ็กสกุลเงินดิจิทัลในปี 2023 คิดเป็น 17.6% ของความสูญเสียทั้งหมดในปีนั้น
การโจมตี Atomic Wallet ในเดือนมิถุนายน พ.ศ. 2566: ในเดือนมิถุนายน พ.ศ. 2566 มีการขโมยสกุลเงินดิจิทัลมูลค่ากว่า 100 ล้านดอลลาร์จากผู้ใช้บริการ Atomic Wallet ซึ่งในเวลาต่อมา FBI ได้รับการยืนยันเหตุการณ์นี้
การแฮ็ก Stake.com ในเดือนกันยายน 2023: ในเดือนกันยายน 2023 FBI ได้ยืนยันว่ามีการขโมยสกุลเงินดิจิทัลมูลค่า 41 ล้านดอลลาร์จากแพลตฟอร์มคาสิโนออนไลน์และการพนัน Stake.com และผู้กระทำความผิดก็คือ Lazarus Group
มาตรการคว่ำบาตรของสหรัฐ
เมื่อวันที่ 14 เมษายน 2022 สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) ของกระทรวงการคลังของสหรัฐอเมริกาได้เพิ่มกลุ่ม Lazarus ลงในรายชื่อบุคคลที่ได้รับมอบหมายเป็นพิเศษ (SDN List) ตามมาตรา 510.214 ของระเบียบบังคับการคว่ำบาตรของประเทศหนึ่งๆ
การโจมตีสกุลเงินดิจิทัลในปี 2024
ตามรายงานของสื่ออินเดีย พบว่ามีการโจมตีกระดานแลกเปลี่ยนสกุลเงินดิจิทัลในท้องถิ่นที่ชื่อว่า WazirX โดยองค์กรดังกล่าว และขโมยสินทรัพย์ดิจิทัลมูลค่า 234.9 ล้านดอลลาร์ไป
การฝึกอบรมบุคลากร
มีข่าวลือว่าแฮกเกอร์ชาวเกาหลีเหนือจำนวนหนึ่งจะถูกส่งไปที่เมืองเสิ่นหยาง ประเทศจีน เพื่อเข้ารับการฝึกอบรมระดับมืออาชีพเกี่ยวกับวิธีฝังมัลแวร์ประเภทต่างๆ ลงในคอมพิวเตอร์ เครือข่ายคอมพิวเตอร์ และเซิร์ฟเวอร์ ภายในเกาหลีเหนือ มหาวิทยาลัยเทคโนโลยีคิมแชก มหาวิทยาลัยคิมอิลซุง และมหาวิทยาลัยมังยองแด มีหน้าที่รับผิดชอบงานด้านการศึกษาที่เกี่ยวข้อง มหาวิทยาลัยเหล่านี้คัดเลือกนักศึกษาที่ดีที่สุดจากทั่วประเทศและให้การศึกษาพิเศษแก่พวกเขาเป็นเวลา 6 ปี นอกจากการศึกษาระดับมหาวิทยาลัยแล้ว “โปรแกรมเมอร์ที่เก่งที่สุดบางคน...ยังถูกส่งไปศึกษาต่อที่มหาวิทยาลัย Mangyongdae หรือวิทยาลัย Mirim”
องค์กรสาขา
เชื่อกันว่ากลุ่มลาซารัสมี 2 สาขา
บลูนอร์ออฟ
BlueNorOff (หรือเรียกอีกอย่างว่า APT 38, “Star Maxima”, “BeagleBoyz”, “NICKEL GLADSTONE”) เป็นกลุ่มที่มีแรงจูงใจทางการเงินซึ่งดำเนินการโอนเงินผิดกฎหมายโดยการปลอมแปลงคำสั่งของ Society for Worldwide Interbank Financial Telecommunication (SWIFT) Mandiant เรียกมันว่า APT 38 ในขณะที่ Crowdstrike เรียกมันว่า Stellar Maxima
ตามรายงานของกองทัพบกสหรัฐในปี 2020 BlueNorOff มีสมาชิกประมาณ 1,700 รายซึ่งมุ่งเน้นไปที่การประเมินระยะยาวและการแสวงหาประโยชน์จากจุดอ่อนและระบบของเครือข่ายศัตรู รวมถึงมีส่วนร่วมในกิจกรรมอาชญากรรมทางไซเบอร์ทางการเงินเพื่อให้ได้รับผลประโยชน์ทางการเงินสำหรับระบอบการปกครองของประเทศหรือระบบที่เกี่ยวข้องกับการควบคุม ระหว่างปี 2557 ถึง 2564 เป้าหมายของพวกเขาครอบคลุมสถาบัน 16 แห่งในอย่างน้อย 13 ประเทศ รวมถึงบังกลาเทศ ชิลี อินเดีย เม็กซิโก ปากีสถาน ฟิลิปปินส์ เกาหลีใต้ ไต้หวัน ตุรกี และเวียดนาม เชื่อกันว่ารายได้ที่ได้มาอย่างผิดกฎหมายนั้นถูกนำไปใช้เป็นทุนสำหรับพัฒนาเทคโนโลยีขีปนาวุธและนิวเคลียร์ของประเทศ
การโจมตีที่ฉาวโฉ่ที่สุดของ BlueNorOff คือการขโมยเงินธนาคารในปี 2016 ซึ่งพวกเขาพยายามโอนเงินเกือบ 1 พันล้านดอลลาร์จากบัญชีธนาคารกลางของประเทศหนึ่งที่ธนาคารกลางสหรัฐในนิวยอร์กผ่านเครือข่าย SWIFT อย่างผิดกฎหมาย หลังจากทำธุรกรรมบางส่วนเสร็จเรียบร้อย (ศรีลังกาได้รับเงิน 20 ล้านเหรียญสหรัฐ และฟิลิปปินส์ได้รับเงิน 81 ล้านเหรียญสหรัฐ) ธนาคารกลางสหรัฐในนิวยอร์กเริ่มเกิดความสงสัยเนื่องจากพบข้อผิดพลาดในการสะกดในคำสั่ง และได้บล็อกธุรกรรมส่วนที่เหลือ
มัลแวร์ที่เกี่ยวข้องกับ BlueNorOff ได้แก่: DarkComet, Mimikatz, Nestegg, Macktruck, WannaCry, Whiteout, Quickcafe, Rawhide, Smoothride, TightVNC, Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe, sysmon, Bootwreck, Cleantoad, Closeshave, Dyepack, Hermes, Twopence, Electricfish, Powerratankba, Powerspritz และอื่นๆ
วิธีการทั่วไปของ BlueNorOff ได้แก่ การฟิชชิ่ง การตั้งค่าแบ็กดอร์ การแสวงประโยชน์จากช่องโหว่ การโจมตีแบบ watering hole การใช้ Apache Struts 2 เวอร์ชันที่ล้าสมัยและไม่ปลอดภัยในการรันโค้ดบนระบบ การแฮ็กเข้าไปในเว็บไซต์อย่างมีกลยุทธ์ และการเข้าถึงเซิร์ฟเวอร์ Linux มีรายงานว่าบางครั้งพวกเขาทำงานร่วมกับแฮกเกอร์ที่เป็นอาชญากร
และแอเรียล
AndAriel หรือ Andarial หรือที่รู้จักกันในชื่อ Silent Chollima, Dark Seoul, Rifle และ Wassonite มีลักษณะเฉพาะที่ชัดเจนคือมุ่งเป้าไปที่เกาหลีใต้ ชื่อเล่นของแอนดริล Silent Maxima มาจากธรรมชาติที่เก็บความลับของกลุ่ม [70] สถาบันใดๆ ในเกาหลีใต้ก็สามารถถูกโจมตีโดย Andril ได้ รวมไปถึงหน่วยงานของรัฐ หน่วยงานป้องกันประเทศ และหน่วยงานสำคัญทางเศรษฐกิจต่างๆ
ตามรายงานของกองทัพบกสหรัฐในปี 2020 กองทัพ Andril มีสมาชิกประมาณ 1,600 นาย ซึ่งมีภารกิจในการลาดตระเวน ประเมินจุดอ่อนของเครือข่าย และทำแผนที่เครือข่ายของศัตรูเพื่อดูการโจมตีที่อาจเกิดขึ้น นอกจากเกาหลีใต้แล้ว พวกเขายังโจมตีรัฐบาล โครงสร้างพื้นฐาน และธุรกิจในประเทศอื่นๆ ด้วย วิธีโจมตี ได้แก่ การใช้ประโยชน์จากตัวควบคุม ActiveX, ช่องโหว่ซอฟต์แวร์ของเกาหลี, การโจมตีแบบ Watering Hole, การฟิชชิ่งแบบเจาะจง (วิธีการใช้มาโครไวรัส), การโจมตีผลิตภัณฑ์การจัดการไอที (เช่นซอฟต์แวร์ป้องกันไวรัส, ซอฟต์แวร์การจัดการโครงการ) และการโจมตีผ่านห่วงโซ่อุปทาน (โปรแกรมติดตั้งและโปรแกรมอัปเดต) มัลแวร์ที่ใช้ได้แก่ Aryan, Gh 0 st RAT, Rifdoor, Phandoor และ Andarat
การดำเนินคดีกับบุคคลที่เกี่ยวข้อง
ในเดือนกุมภาพันธ์ พ.ศ. 2564 กระทรวงยุติธรรมสหรัฐฯ ได้ฟ้องเจ้าหน้าที่หน่วยข่าวกรองทางการทหารของเกาหลีเหนือจำนวน 3 ราย ได้แก่ ปาร์ค จินฮยอก, จอน ชางฮยอก และคิม อิล ปาร์ค ในข้อหามีส่วนเกี่ยวข้องกับแคมเปญแฮ็กเกอร์หลายกรณีของกลุ่มลาซารัส (Lazarus) ปาร์คจินฮยอกถูกตั้งข้อกล่าวหาตั้งแต่เดือนกันยายน 2018 ขณะนี้ผู้ต้องสงสัยไม่มีใครถูกควบคุมตัวอยู่ในสหรัฐฯ นอกจากนี้ ชาวแคนาดา 1 คนและชาวจีน 2 คน ยังถูกตั้งข้อหาเป็นผู้ส่งเงินและฟอกเงินให้กับกลุ่ม Lazarus อีกด้วย
