Эксперты Group-IB обнародовали отчет «Lazarus: архитектура, инструменты, атрибуция», в рамках которого опубликовали остававшиеся до сих пор неизвестными детали о кибератаках хакерской группы Lazarus, свидетельствующие о ее связи с властями Северной Кореи.
В отчете указано, что ранее хакеры Lazarus проводили кибершпионские операции, направленные против американских и южнокорейских государственных учреждений и частных компаний, однако теперь они ведут атаки против финансовых организаций разных стран мира. Именно участников Lazarus подозревают в крупномасштабных атаках на Sony Entertainment в 2014 году и на Банк Бангладеш в прошлом году.
Группировка Lazarus в феврале текущего года провела кибератаки против ряда польских банков. Помимо этого, интерес для киберпреступников представляют сотни финансовых организаций в 30 государствах, а прежде всего центральные банки Бразилии, Венесуэлы, России и Чили.
По словам основателя Group-IB Дмитрия Волкова, в ходе расследования специалисты компании доказали связь группы Lazarus с КНДР. Анализ IP-адресов, применявшихся для атак, позволил экспертам выяснить точное местоположение злоумышленников. Волков подчеркнул, что в результате изучения всей командной инфраструктуры Lazarus сотрудники Group-IB выяснили, каким образом хакеры взламывали банковские сети, какие инструменты они применяли, а также кто будет следующей жертвой киберпреступников.
В ходе расследования выяснилось, что хакеры использовали северокорейские IP-адреса 210.52.109.22 и 175.45.178.222. Второй из них закреплен за районом Потхонган в Пхеньяне, где размещены Национальная комиссия КНДР по обороне и недостроенная многоэтажная гостиница Рюгён, предположительно являющаяся резиденцией хакеров, работающих на северокорейское правительство.
Как утверждают эксперты, с начала минувшего года участники Lazarus пытались выдавать себя за «русских хакеров». Так, они для описания команд внедрили строки на русском языке в модуль отладки.