Nguồn gốc: Wikipedia
Bản dịch gốc: Yobo, Foresight News
Nội dung sau đây được dịch từ mục Lazarus Group trên Wikipedia:
Nhóm Lazarus (còn được gọi là Guardians hoặc Peace or Whois Team) là một nhóm tin tặc bao gồm một số lượng cá nhân không xác định, được cho là do chính phủ Triều Tiên kiểm soát. Mặc dù biết rất ít về nhóm này, các nhà nghiên cứu đã xác định nhóm này thực hiện một số cuộc tấn công mạng kể từ năm 2010.
Ban đầu là một nhóm tội phạm, nhóm này hiện đã được chỉ định là nhóm đe dọa dai dẳng cấp cao do mục đích tấn công, các mối đe dọa mà nhóm này gây ra và nhiều phương pháp mà nhóm này sử dụng trong các hoạt động của mình. Các cơ quan an ninh mạng đã đặt cho chúng những biệt danh như “Hidden Cobra” (tên mà Bộ An ninh Nội địa Hoa Kỳ sử dụng để chỉ các hoạt động mạng độc hại do chính phủ Triều Tiên phát động) và “ZINC” hay “Diamond Sleet” (thuật ngữ của Microsoft). Theo Kim Kuk-song, một người đào tẩu khỏi Triều Tiên, nhóm này được biết đến ở Bắc Triều Tiên với tên gọi Văn phòng liên lạc 414.
Nhóm Lazarus có mối quan hệ chặt chẽ với Triều Tiên. Bộ Tư pháp Hoa Kỳ cáo buộc rằng nhóm này là một phần trong chiến lược của chính phủ Triều Tiên nhằm phá hoại an ninh mạng toàn cầu... và tạo ra doanh thu bất hợp pháp, vi phạm lệnh trừng phạt. Triều Tiên có thể thu được nhiều lợi ích từ việc tiến hành các hoạt động mạng và chỉ cần duy trì một đội ngũ rất nhỏ để tạo ra mối đe dọa bất đối xứng toàn cầu (đặc biệt là đối với Hàn Quốc).
Lịch sử phát triển
Các cuộc tấn công đầu tiên được biết đến của nhóm này là Chiến dịch Troy từ năm 2009 đến năm 2012. Đây là chiến dịch gián điệp mạng sử dụng các kỹ thuật từ chối dịch vụ phân tán (DDoS) thô sơ để nhắm vào chính phủ Hàn Quốc tại Seoul. Vào năm 2011 và 2013, họ cũng đã tiến hành các cuộc tấn công. Mặc dù không thể xác nhận, nhưng họ có thể đã thực hiện một cuộc tấn công vào Hàn Quốc vào năm 2007. Một trong những cuộc tấn công đáng chú ý của nhóm này diễn ra vào năm 2014, nhắm vào Sony Pictures. Cuộc tấn công này sử dụng những kỹ thuật tinh vi hơn và cho thấy nhóm này đã trưởng thành hơn theo thời gian.
Năm 2015, Tập đoàn Lazarus được cho là đã đánh cắp 12 triệu đô la từ Ngân hàng Banco Ostello ở Ecuador và 1 triệu đô la khác từ Ngân hàng Pioneer ở Việt Nam. Họ cũng nhắm vào các ngân hàng ở Ba Lan và Mexico. Trong vụ trộm ngân hàng năm 2016, chúng đã tấn công một ngân hàng và đánh cắp thành công 81 triệu đô la, vụ việc này cũng được cho là do nhóm này gây ra. Năm 2017, có thông tin Tập đoàn Lazarus đã đánh cắp 60 triệu đô la từ Ngân hàng Thương mại Quốc tế Viễn Đông của Đài Loan, mặc dù số tiền thực tế bị đánh cắp vẫn chưa rõ ràng và phần lớn số tiền đã được thu hồi.
Người ta vẫn chưa rõ ai thực sự đứng sau nhóm này, nhưng các phương tiện truyền thông đưa tin rằng nhóm này có quan hệ chặt chẽ với Triều Tiên. Năm 2017, Kaspersky Lab báo cáo rằng Nhóm Lazarus có xu hướng tập trung vào các cuộc tấn công mạng gián điệp và xâm nhập, trong khi một tổ chức phụ trong nhóm này, mà Kaspersky gọi là Bluenoroff, chuyên về các cuộc tấn công mạng tài chính. Kaspersky đã phát hiện nhiều cuộc tấn công trên toàn thế giới và tìm thấy mối liên kết địa chỉ IP trực tiếp giữa Bluenoroff và quốc gia này.
Tuy nhiên, Kaspersky cũng thừa nhận rằng việc tái sử dụng mã có thể là một hoạt động đánh lừa nhằm đánh lừa các nhà điều tra và đổ lỗi cho Bắc Triều Tiên. Xét cho cùng, cuộc tấn công mạng toàn cầu bằng sâu WannaCry đã sao chép công nghệ của Cơ quan An ninh Quốc gia Hoa Kỳ. Phần mềm tống tiền này khai thác lỗ hổng EternalBlue của NSA, được một nhóm tin tặc có tên Shadow Brokers công bố vào tháng 4 năm 2017. Năm 2017, Symantec báo cáo rằng cuộc tấn công “WannaCry” rất có thể được thực hiện bởi Lazarus Group.
Chiến dịch Troy năm 2009
Vụ tấn công mạng lớn đầu tiên của Nhóm Lazarus xảy ra vào ngày 4 tháng 7 năm 2009, đánh dấu sự khởi đầu của Chiến dịch Troy. Cuộc tấn công sử dụng phần mềm độc hại MyDoomsday và Bulldozer để phát động một cuộc tấn công DDoS quy mô lớn nhưng không phức tạp vào các trang web tại Hoa Kỳ và Hàn Quốc. Cuộc tấn công nhắm vào khoảng 36 trang web và cấy dòng chữ Kỷ niệm Ngày Độc lập vào bản ghi khởi động chính (MBR).
Các cuộc tấn công mạng của Hàn Quốc năm 2013 (Chiến dịch 1/Dark Seoul)
Theo thời gian, các cuộc tấn công của nhóm này ngày càng tinh vi hơn; kỹ thuật và công cụ của chúng cũng trở nên hoàn thiện và hiệu quả hơn. Các cuộc tấn công “Mười ngày mưa” vào tháng 3 năm 2011, nhắm vào phương tiện truyền thông, tài chính và cơ sở hạ tầng quan trọng của Hàn Quốc, sử dụng các cuộc tấn công DDoS tinh vi hơn có nguồn gốc từ các máy tính bị xâm nhập bên trong Hàn Quốc. Vào ngày 20 tháng 3 năm 2013, Chiến dịch Dark Seoul đã được phát động, một cuộc tấn công xóa dữ liệu nhắm vào ba đài truyền hình, tổ chức tài chính và một nhà cung cấp dịch vụ Internet tại Hàn Quốc. Vào thời điểm đó, hai nhóm khác tự gọi là New Rome Cyber Legion và WhoIs Team đã nhận trách nhiệm về vụ tấn công, nhưng các nhà nghiên cứu không biết rằng Lazarus Group chính là kẻ đứng sau vụ việc. Ngày nay, các nhà nghiên cứu biết rằng Nhóm Lazarus đứng sau những cuộc tấn công phá hoại này.
Cuối năm 2014: Sony Pictures bị hack
Vào ngày 24 tháng 11 năm 2014, các cuộc tấn công của Nhóm Lazarus đã đạt đến đỉnh điểm. Cùng ngày, một bài đăng xuất hiện trên Reddit nói rằng Sony Pictures đã bị tấn công bằng phương tiện không xác định và những kẻ tấn công tự gọi mình là Người bảo vệ hòa bình. Một lượng lớn dữ liệu đã bị đánh cắp và rò rỉ dần dần trong những ngày sau vụ tấn công. Một người tự nhận là thành viên của nhóm này cho biết trong một cuộc phỏng vấn rằng họ đã đánh cắp dữ liệu của Sony trong hơn một năm.
Các tin tặc đã có thể truy cập vào các bộ phim chưa phát hành, một số kịch bản phim, kế hoạch làm phim trong tương lai, thông tin về mức lương của giám đốc điều hành công ty, email và thông tin cá nhân của khoảng 4.000 nhân viên.
Cuộc điều tra đầu năm 2016: Chiến dịch Blockbuster
Có tên mã là Chiến dịch Blockbuster, một liên minh các công ty bảo mật do Novetta đứng đầu đã phân tích các mẫu phần mềm độc hại được tìm thấy trong các sự cố an ninh mạng khác nhau. Sử dụng dữ liệu này, nhóm đã phân tích cách thức hoạt động của tin tặc. Họ liên kết Nhóm Lazarus với nhiều cuộc tấn công thông qua các mẫu tái sử dụng mã. Ví dụ, họ đã sử dụng một thuật toán mã hóa ít được biết đến trên Internet - thuật toán mã hóa Karacas.
Một vụ trộm cắp mạng ngân hàng năm 2016
Vào tháng 2 năm 2016, một vụ cướp ngân hàng đã xảy ra. Các tin tặc bảo mật đã gửi 35 lệnh gian lận qua mạng lưới Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT) nhằm mục đích chuyển trái phép gần 1 tỷ đô la từ tài khoản của một ngân hàng trung ương tại Ngân hàng Dự trữ Liên bang New York. Năm trong số 35 lệnh gian lận đã chuyển thành công 101 triệu đô la, bao gồm 20 triệu đô la tới Sri Lanka và 81 triệu đô la tới Philippines. Cục Dự trữ Liên bang New York đã chặn 30 giao dịch còn lại, trị giá 850 triệu đô la, sau khi nghi ngờ về một hướng dẫn viết sai chính tả. Các chuyên gia an ninh mạng cho biết kẻ chủ mưu đứng sau vụ tấn công là nhóm Lazarus đến từ một quốc gia nào đó.
Cuộc tấn công ransomware “WannaCry” tháng 5 năm 2017
Cuộc tấn công “WannaCry” là một cuộc tấn công mạng bằng phần mềm tống tiền quy mô lớn diễn ra vào ngày 12 tháng 5 năm 2017, ảnh hưởng đến nhiều tổ chức trên khắp thế giới, từ Dịch vụ Y tế Quốc gia (NHS) của Vương quốc Anh đến Boeing và thậm chí cả một số trường đại học ở Trung Quốc. Cuộc tấn công kéo dài 7 giờ 19 phút. Europol ước tính cuộc tấn công đã ảnh hưởng đến gần 200.000 máy tính ở 150 quốc gia, trong đó các khu vực bị ảnh hưởng chính bao gồm Nga, Ấn Độ, Ukraine và Đài Loan. Đây là một trong những cuộc tấn công bằng sâu mã hóa đầu tiên. Cryptoworm là một loại phần mềm độc hại lây lan từ máy tính này sang máy tính khác qua mạng, lây nhiễm mà không cần người dùng thực hiện hành động trực tiếp — trong trường hợp này, sử dụng cổng TCP 445. Không cần phải nhấp vào liên kết độc hại để lây nhiễm vi-rút vào máy tính; phần mềm độc hại có thể tự động lây lan từ máy tính này sang máy in được kết nối, sang các máy tính gần đó được kết nối với mạng không dây, v.v. Lỗ hổng ở cổng 445 cho phép phần mềm độc hại lây lan tự do trong mạng nội bộ, nhanh chóng lây nhiễm sang hàng nghìn máy tính. Cuộc tấn công WannaCry là một trong những cuộc tấn công đầu tiên sử dụng sâu mã hóa trên quy mô lớn.
Cách thức tấn công: Virus này khai thác lỗ hổng trong hệ điều hành Windows, sau đó mã hóa dữ liệu máy tính và yêu cầu thanh toán khoảng 300 đô la bằng Bitcoin để có khóa giải mã. Để khuyến khích nạn nhân trả tiền, số tiền chuộc sẽ tăng gấp đôi sau ba ngày và nếu không trả trong vòng một tuần, phần mềm độc hại sẽ xóa các tệp dữ liệu được mã hóa. Phần mềm độc hại này sử dụng phần mềm hợp pháp do Microsoft phát triển có tên là Windows Crypto để mã hóa các tập tin. Sau khi mã hóa hoàn tất, tên tệp sẽ được thêm hậu tố Wincry, đây chính là nguồn gốc của tên WannaCry. Wincry là cơ sở của mã hóa, nhưng phần mềm độc hại này cũng khai thác hai lỗ hổng khác là EternalBlue và DoublePulsar, khiến nó trở thành một loại sâu mã hóa. EternalBlue có thể tự động phát tán virus qua mạng, trong khi Double Pulsar kích hoạt virus trên máy tính của nạn nhân. Nói cách khác, EternalBlue đã chuyển liên kết bị nhiễm đến máy tính của bạn và Double Pulsar sẽ nhấp vào liên kết đó thay bạn.
Sau khi nhận được mẫu vi-rút từ một người bạn làm việc tại một công ty nghiên cứu bảo mật, nhà nghiên cứu bảo mật Marcus Hutchins đã phát hiện ra rằng một công tắc vô hiệu hóa đã được mã hóa cứng trong vi-rút, giúp chấm dứt cuộc tấn công. Phần mềm độc hại sẽ kiểm tra định kỳ để xem tên miền cụ thể đã được đăng ký hay chưa và chỉ tiến hành mã hóa nếu tên miền đó chưa tồn tại. Hutchins đã phát hiện ra tờ séc này và sau đó đã đăng ký tên miền đó vào lúc 3:03 chiều theo giờ UTC. Phần mềm độc hại ngay lập tức ngừng lây lan và lây nhiễm sang các thiết bị mới. Tình huống này rất thú vị và cũng cung cấp manh mối để truy tìm tác giả của loại virus này. Thông thường, việc chặn phần mềm độc hại đòi hỏi nhiều tháng chiến đấu qua lại giữa tin tặc và các chuyên gia bảo mật, nên chiến thắng dễ dàng như vậy là điều không ai ngờ tới. Một khía cạnh bất thường khác của cuộc tấn công này là các tập tin không thể được khôi phục ngay cả sau khi tiền chuộc đã được trả: tin tặc chỉ nhận được 160.000 đô la tiền chuộc, điều này khiến nhiều người tin rằng mục đích của họ không phải là tài chính.
Việc dễ dàng bẻ khóa công tắc hủy diệt và số tiền chuộc ít ỏi khiến nhiều người tin rằng cuộc tấn công này được nhà nước bảo trợ; động cơ không phải là bồi thường tài chính mà là để tạo ra sự hỗn loạn. Sau cuộc tấn công, các chuyên gia bảo mật đã lần ra lỗ hổng Double Pulsar bắt nguồn từ Cơ quan An ninh Quốc gia Hoa Kỳ, vốn ban đầu được phát triển như một vũ khí mạng. Sau đó, nhóm hacker Shadow Brokers đã đánh cắp lỗ hổng này và đầu tiên cố gắng đấu giá nó, nhưng không thành công. Cuối cùng, họ chỉ đơn giản là công khai nó miễn phí. Sau đó, NSA đã thông báo cho Microsoft về lỗ hổng bảo mật này và Microsoft đã phát hành bản cập nhật vào ngày 14 tháng 3 năm 2017, chưa đầy một tháng sau vụ tấn công. Nhưng thế vẫn chưa đủ. Vì bản cập nhật không bắt buộc nên cho đến ngày 12 tháng 5, hầu hết các máy tính có lỗ hổng vẫn chưa được vá, khiến cuộc tấn công gây ra thiệt hại đáng kinh ngạc.
Hậu quả: Bộ Tư pháp Hoa Kỳ và các nhà chức trách Anh sau đó đã xác định rằng vụ tấn công WannaCry là tác phẩm của nhóm tin tặc Triều Tiên Lazarus Group.
Các cuộc tấn công tiền điện tử năm 2017
Năm 2018, Recorded Future đã công bố một báo cáo chỉ ra mối liên hệ giữa Tập đoàn Lazarus với các cuộc tấn công nhằm vào người dùng tiền điện tử Bitcoin và Monero, chủ yếu ở Hàn Quốc. Các cuộc tấn công này được cho là về mặt kỹ thuật tương tự như các cuộc tấn công trước đây sử dụng phần mềm tống tiền WannaCry và cuộc tấn công vào Sony Pictures. Một trong những chiến thuật mà nhóm tin tặc Lazarus Group sử dụng là khai thác lỗ hổng trong phần mềm xử lý văn bản Hangul của Hàn Quốc (do Hancom phát triển). Một chiến thuật khác là gửi các mồi nhử lừa đảo có chứa phần mềm độc hại, nhắm vào sinh viên Hàn Quốc và người dùng các sàn giao dịch tiền điện tử như Coinlink.
Nếu người dùng mở phần mềm độc hại, địa chỉ email và mật khẩu của họ có thể bị đánh cắp. Coinlink đã phủ nhận việc trang web của mình hoặc địa chỉ email và mật khẩu của người dùng bị hack. Báo cáo kết luận: Chuỗi các cuộc tấn công vào cuối năm 2017 này chứng tỏ quốc gia này vẫn tiếp tục quan tâm đến tiền điện tử, mà hiện chúng ta biết là bao gồm nhiều hoạt động khác nhau như khai thác, tấn công bằng phần mềm tống tiền và trộm cắp trắng trợn... Báo cáo cũng nêu rõ rằng quốc gia này đã sử dụng các cuộc tấn công bằng tiền điện tử này để lách các lệnh trừng phạt tài chính quốc tế.
Vào tháng 2 năm 2017, tin tặc từ một quốc gia nào đó đã đánh cắp 7 triệu đô la từ sàn giao dịch tiền điện tử Bithumb của Hàn Quốc. Một sàn giao dịch bitcoin khác của Hàn Quốc, Youbit, đã bị tấn công vào tháng 4 năm 2017 và phải nộp đơn xin phá sản vào tháng 12 cùng năm sau khi 17% tài sản của sàn bị đánh cắp. Nhóm Lazarus và tin tặc Trung Quốc bị cáo buộc đứng sau các vụ tấn công. Vào tháng 12 năm 2017, thị trường khai thác tiền điện tử đám mây Nicehash đã mất hơn 4.500 Bitcoin. Bản cập nhật điều tra cho thấy vụ tấn công có liên quan đến Nhóm Lazarus.
Các cuộc tấn công tháng 9 năm 2019
Vào giữa tháng 9 năm 2019, Hoa Kỳ đã ban hành cảnh báo công khai về việc phát hiện ra một phần mềm độc hại mới có tên ElectricFish. Kể từ đầu năm 2019, các điệp viên của một quốc gia nào đó đã thực hiện năm vụ trộm cắp mạng lớn trên toàn thế giới, bao gồm vụ trộm thành công 49 triệu đô la từ một tổ chức ở Kuwait.
Các cuộc tấn công của công ty dược phẩm vào cuối năm 2020
Khi đại dịch COVID-19 tiếp tục lan rộng, các công ty dược phẩm đã trở thành mục tiêu chính của Tập đoàn Lazarus. Các thành viên của Nhóm Lazarus đã sử dụng kỹ thuật lừa đảo trực tuyến, đóng giả là cán bộ y tế và gửi các liên kết độc hại đến nhân viên của các công ty dược phẩm. Một số công ty dược phẩm lớn được cho là đã trở thành mục tiêu, nhưng cho đến nay chỉ có công ty AstraZeneca của Anh và Thụy Điển được xác nhận. Theo Reuters, nhiều nhân viên đã bị nhắm tới, trong đó có nhiều người tham gia vào quá trình phát triển vắc-xin phòng ngừa virus corona mới. Không rõ mục đích của Nhóm Lazarus khi tiến hành các cuộc tấn công này là gì, nhưng chúng có thể bao gồm việc đánh cắp thông tin nhạy cảm để kiếm lợi, thực hiện các âm mưu tống tiền và cho phép các chế độ nước ngoài tiếp cận các nghiên cứu độc quyền liên quan đến vi-rút corona. AstraZeneca vẫn chưa bình luận về sự cố này và các chuyên gia tin rằng không có dữ liệu nhạy cảm nào bị rò rỉ.
Các cuộc tấn công vào các nhà nghiên cứu an ninh mạng vào tháng 1 năm 2021
Vào tháng 1 năm 2021, cả Google và Microsoft đều công khai báo cáo rằng một nhóm tin tặc từ một quốc gia nào đó đã phát động một cuộc tấn công vào các nhà nghiên cứu an ninh mạng thông qua các phương tiện kỹ thuật xã hội. Microsoft chỉ rõ rằng cuộc tấn công được thực hiện bởi Lazarus Group.
Tin tặc đã tạo nhiều hồ sơ người dùng trên các nền tảng như Twitter, GitHub và LinkedIn, đóng giả là các nhà nghiên cứu lỗ hổng phần mềm hợp pháp và tương tác với các bài đăng và nội dung do những người khác trong cộng đồng nghiên cứu bảo mật đăng tải. Sau đó, chúng sẽ liên hệ trực tiếp với các nhà nghiên cứu bảo mật cụ thể, giả vờ là đang hợp tác nghiên cứu và lừa nạn nhân tải xuống các tệp có chứa phần mềm độc hại hoặc truy cập các bài đăng trên blog trên các trang web do tin tặc kiểm soát.
Một số nạn nhân đã truy cập bài đăng trên blog cho biết máy tính của họ đã bị xâm phạm mặc dù sử dụng phiên bản đã vá đầy đủ của trình duyệt Google Chrome, điều này cho thấy tin tặc có thể đã khai thác lỗ hổng bảo mật zero-day chưa từng được biết đến của Chrome; tuy nhiên, tại thời điểm báo cáo được đưa ra, Google cho biết họ không thể xác định phương pháp xâm phạm cụ thể.
Axie Infinity tấn công vào tháng 3 năm 2022
Vào tháng 3 năm 2022, Tập đoàn Lazarus bị cáo buộc đánh cắp 620 triệu đô la tiền điện tử từ mạng lưới Ronin được trò chơi Axie Infinity sử dụng. Thông qua cuộc điều tra, chúng tôi xác định rằng Nhóm Lazarus và APT 38 (nhóm tin tặc có liên quan đến Triều Tiên) đứng sau vụ trộm này, FBI cho biết.
Vụ tấn công cầu Horizon tháng 6 năm 2022
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã xác nhận rằng nhóm tin tặc nguy hiểm người Triều Tiên Lazarus Group, còn được gọi là APT 38, đứng sau vụ đánh cắp 100 triệu đô la tiền ảo từ Horizon Bridge của Harmony, được báo cáo vào ngày 24 tháng 6 năm 2022.
Các cuộc tấn công tiền điện tử liên quan khác vào năm 2023
Một báo cáo do nền tảng bảo mật blockchain Immunefi công bố nêu rõ rằng Lazarus Group đã gây ra thiệt hại hơn 300 triệu đô la trong các cuộc tấn công hack tiền điện tử vào năm 2023, chiếm 17,6% tổng thiệt hại trong năm đó.
Cuộc tấn công Atomic Wallet vào tháng 6 năm 2023: Vào tháng 6 năm 2023, hơn 100 triệu đô la tiền điện tử đã bị đánh cắp từ người dùng dịch vụ Atomic Wallet, một sự cố sau đó đã được FBI xác nhận.
Vụ tấn công Stake.com vào tháng 9 năm 2023: Vào tháng 9 năm 2023, FBI xác nhận rằng số tiền điện tử trị giá 41 triệu đô la đã bị đánh cắp từ sòng bạc trực tuyến và nền tảng cờ bạc Stake.com và thủ phạm là Lazarus Group.
Lệnh trừng phạt của Hoa Kỳ
Vào ngày 14 tháng 4 năm 2022, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ đã thêm Tập đoàn Lazarus vào Danh sách Công dân được Chỉ định Đặc biệt (Danh sách SDN) theo Mục 510.214 của quy định trừng phạt của quốc gia.
Các cuộc tấn công tiền điện tử vào năm 2024
Theo báo cáo của phương tiện truyền thông Ấn Độ, một sàn giao dịch tiền điện tử địa phương có tên WazirX đã bị tổ chức này tấn công và đánh cắp số tài sản tiền điện tử trị giá 234,9 triệu đô la.
Đào tạo nhân sự
Có tin đồn rằng một số tin tặc Triều Tiên sẽ được gửi đến Thẩm Dương, Trung Quốc để đào tạo chuyên nghiệp về cách cấy nhiều loại phần mềm độc hại khác nhau vào máy tính, mạng máy tính và máy chủ. Ở Bắc Triều Tiên, Đại học Công nghệ Kim Chaek, Đại học Kim Il Sung và Đại học Mangyongdae chịu trách nhiệm về các nhiệm vụ giáo dục có liên quan. Các trường đại học này tuyển chọn những sinh viên giỏi nhất trên khắp cả nước và cung cấp cho họ sáu năm giáo dục đặc biệt. Ngoài chương trình giáo dục đại học, một số lập trình viên giỏi nhất...được gửi đến Đại học Mangyongdae hoặc Cao đẳng Mirim để học lên cao hơn.
Chi nhánh tổ chức
Người ta tin rằng Nhóm Lazarus có hai nhánh.
BlueNorTắt
BlueNorOff (còn được gọi là APT 38, “Star Maxima”, “BeagleBoyz”, “NICKEL GLADSTONE”) là một nhóm có động cơ tài chính thực hiện chuyển tiền bất hợp pháp bằng cách làm giả hướng dẫn của Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT). Mandiant gọi nó là APT 38, trong khi Crowdstrike gọi nó là Stellar Maxima.
Theo báo cáo năm 2020 của Quân đội Hoa Kỳ, BlueNorOff có khoảng 1.700 thành viên tập trung vào việc đánh giá và khai thác dài hạn các lỗ hổng và hệ thống mạng của đối phương, tham gia vào các hoạt động tội phạm mạng tài chính để thu lợi nhuận cho chế độ của quốc gia hoặc kiểm soát các hệ thống liên quan. Trong giai đoạn 2014-2021, mục tiêu của họ bao gồm 16 tổ chức tại ít nhất 13 quốc gia, trong đó có Bangladesh, Chile, Ấn Độ, Mexico, Pakistan, Philippines, Hàn Quốc, Đài Loan, Thổ Nhĩ Kỳ và Việt Nam. Người ta tin rằng số tiền bất hợp pháp này đã được dùng để phát triển công nghệ tên lửa và hạt nhân của đất nước.
Cuộc tấn công khét tiếng nhất của BlueNorOff là vụ cướp ngân hàng năm 2016 khi chúng cố gắng chuyển bất hợp pháp gần 1 tỷ đô la từ tài khoản của một ngân hàng trung ương tại Ngân hàng Dự trữ Liên bang New York thông qua mạng lưới SWIFT. Sau khi một số giao dịch được hoàn tất thành công (20 triệu đô la được chuyển đến Sri Lanka và 81 triệu đô la được chuyển đến Philippines), Ngân hàng Dự trữ Liên bang New York bắt đầu nghi ngờ vì lỗi chính tả trong hướng dẫn và đã chặn phần còn lại.
Phần mềm độc hại liên quan đến BlueNorOff bao gồm: DarkComet, Mimikatz, Nestegg, Macktruck, WannaCry, Whiteout, Quickcafe, Rawhide, Smoothride, TightVNC, Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe, sysmon, Bootwreck, Cleantoad, Closeshave, Dyepack, Hermes, Twopence, Electricfish, Powerratankba, Powerspritz, v.v.
Các phương pháp phổ biến của BlueNorOff bao gồm: lừa đảo, thiết lập cửa hậu, khai thác lỗ hổng, tấn công watering hole, sử dụng các phiên bản Apache Struts 2 lỗi thời và không an toàn để thực thi mã trên hệ thống, tấn công có chủ đích vào các trang web và truy cập vào máy chủ Linux. Có báo cáo rằng đôi khi họ làm việc với tin tặc tội phạm.
VàAriel
AndAriel, còn được gọi là Andarial, hay còn gọi là Silent Chollima, Dark Seoul, Rifle và Wassonite, có đặc điểm hợp lý là nhắm vào Hàn Quốc. Biệt danh Maxima im lặng của Andril xuất phát từ bản chất bí mật của nhóm. [70] Bất kỳ tổ chức nào ở Hàn Quốc cũng có thể bị Andril tấn công, bao gồm các bộ ngành chính phủ, cơ quan quốc phòng và nhiều tổ chức kinh tế quan trọng.
Theo báo cáo năm 2020 của Quân đội Hoa Kỳ, Andril có khoảng 1.600 thành viên có nhiệm vụ trinh sát, đánh giá lỗ hổng mạng và lập bản đồ mạng lưới của kẻ thù để phát hiện các cuộc tấn công tiềm tàng. Ngoài Hàn Quốc, chúng còn nhắm vào chính phủ, cơ sở hạ tầng và doanh nghiệp ở nhiều quốc gia khác. Các phương pháp tấn công bao gồm: khai thác các điều khiển ActiveX, lỗ hổng phần mềm của Hàn Quốc, tấn công watering hole, lừa đảo qua thư điện tử (phương pháp tấn công virus macro), tấn công vào các sản phẩm quản lý CNTT (như phần mềm diệt vi-rút, phần mềm quản lý dự án) và tấn công thông qua chuỗi cung ứng (trình cài đặt và trình cập nhật). Phần mềm độc hại được sử dụng bao gồm: Aryan, Gh 0 st RAT, Rifdoor, Phandoor và Andarat.
Truy tố những người có liên quan
Vào tháng 2 năm 2021, Bộ Tư pháp Hoa Kỳ đã truy tố ba thành viên của Tổng cục Trinh sát, cơ quan tình báo quân sự của Triều Tiên - Park Jin Hyok, Jon Chang Hyok và Kim Il Park - vì liên quan đến nhiều chiến dịch tấn công mạng của Nhóm Lazarus (Lazarus). Park Jin-hyuk đã bị truy tố vào đầu tháng 9 năm 2018. Hiện tại không có nghi phạm nào bị giam giữ tại Hoa Kỳ. Ngoài ra, một người Canada và hai công dân Trung Quốc cũng bị buộc tội hoạt động như người chuyển tiền và rửa tiền cho Tập đoàn Lazarus.
