Когда криптовалюта под угрозой: кто такие хакеры Lazarus Group

Lazarus Group — это хакерская организация, предположительно связанная с Северной Кореей, деятельность которой, по мнению экспертов, может поддерживаться правительством этой страны.

Группировка известна под множеством названий, включая «Guardians of Peace», «Whois Team», «Dark Seoul», «Hidden Cobra», «Zinc» и другие.

Часто термин «Lazarus» используется для обозначения нескольких её подгрупп, таких как «Andariel», «Bluenoroff», «APT37», «APT38» и «Kimsuky». По оценке властей США, Lazarus представляет собой «постоянную серьезную угрозу» в сфере кибербезопасности. Американское ФБР разыскивает членов этой группы, в частности, упоминается Пак Чин Хек, о котором известны данные, что он, вероятно, учился в Пхеньяне и работал в IT-сфере в Китае. В его карточке указано, что он является «программистом, спонсируемым Северной Кореей», и его хакерские атаки стали причиной значительных финансовых потерь. Среди других разыскиваемых хакеров названы Джон Чан Хек и Ким Ира.

Согласно ФБР, эти злоумышленники могут быть причастны к взлому Sony, а также к распространению вируса-вымогателя WannaCry. Атака, произошедшая 24 ноября, длилась несколько месяцев и позволила хакерам получить доступ к конфиденциальной информации компании, включая личные данные сотрудников и неопубликованные фильмы. Этот инцидент привел к значительному общественному резонансу и даже к реакции Барака Обамы, который пообещал предпринять серьезные ответные меры.

Массовая кампания атаки началась в мае 2017 года, и интерфейс вируса-вымогателя выглядел довольно просто, предлагая ссылку на информацию о Биткоине для пользователей, которые не имели опыта в подобных платежах. В результате пострадали сотни тысяч компьютеров, в том числе и устройства, находившиеся в банках, больницах и аэропортах.

Используя уязвимости нулевого дня, которые еще не поддаются защите, группа применяет методы социальной инженерии, включая фишинговые атаки. Например, они рассылали поддельные вакансии, сопровождая их зараженными файлами.

Кроме того, Lazarus использует различные троянцы и бэкдоры. В середине марта стало известно, что через пакеты npm для Node.js распространяется вредоносное ПО BeaverTail, предназначенное для кражи данных и установки постоянного бэкдора. Также хакеры создавали скомпрометированные библиотеки на платформе GitHub и PyPi.

Недавно, используя схему мультиподписи с пятью валидаторами на межсетевом мосту Horizon Bridge, злоумышленники смогли подменить два закрытых ключа, что позволило им вывести средства и отмыть их через Tornado Cash. После этого повысились требования к подписанию транзакций.

Lazarus также совершил атаку на Ronin, действующий на основе Proof of Authority, где использовались методы социальной инженерии для получения доступа к корпорации Sky Mavis. В конечном итоге хакеры смогли вывести значительную сумму в криптовалюте, и позднее ФБР подтвердило их причастность к этому инциденту.

Аналитики отмечают, что хакеры применяли различные методы для сокрытия своих действий, включая очистку адресов и отмывание украденной криптовалюты через централизованные платформы, несмотря на установленные процедуры KYC.

В начале 2025 года был зафиксирован новый кибератаку от Lazarus, нацеленный на учетные данные криптокошельков Solana и Exodus. Таким образом, данный группировка остается одной из самых активных и опасных в киберпространстве, представляя серьезную угрозу для крупнейших игроков крипторынка и продолжая использовать разнообразные методы для проведения атак, что затрудняет выработку эффективных стратегий защиты.