Jak donoszą media, powiązana z Koreą Północną grupa Lazarus dokonała właśnie największej w historii kradzieży. Czy to zwykła kradzież czy działanie o podłożu politycznym? Kim jest grupa Lazarus? Jakich ataków dokonała w przeszłości? Czy celuje również w Polskę? – na te pytania odpowiada analityk laboratorium antywirusowego ESET Kamil Sadkowski.
Komentarz Kamila Sadkowskiego, analityka laboratorium antywirusowego ESET:
„Lazarus to jedna z najbardziej znanych i niebezpiecznych grup cyberprzestępczych, mająca silne powiązania z północnokoreańskim reżimem. Początkowo działała jak typowa grupa przestępcza nastawiona na zyski finansowe, ale obecnie jest już uznawana za tzw. grupę APT (Advanced Persistent Threat) – czyli wysoce zorganizowaną jednostkę, która prowadzi długofalowe ataki szpiegowskie i destrukcyjne na zlecenie rządów. Grupy APT nie działają chaotycznie – ich celem jest zdobycie dostępu do systemów na długi czas, żeby wykradać dane, śledzić działania firm czy instytucji albo przejmować pieniądze. Lazarus robi to wyjątkowo skutecznie, co sprawia, że jest jednym z najgroźniejszych graczy w świecie cyberprzestępczości.
Lazarus znany jest pod różnymi nazwami – Hidden Cobra (termin używany przez Departament Bezpieczeństwa Wewnętrznego USA), ZINC lub Diamond Sleet (według Microsoftu). Wewnętrznie w Korei Północnej grupa jest znana jako Biuro Łącznikowe 414 (414 Liaison Office). Jej działalność jest częścią strategii reżimu Kim Dzong Una, mającej na celu podważenie globalnego cyberbezpieczeństwa oraz generowanie nielegalnych dochodów, z naruszeniem międzynarodowych sankcji.
W ostatnim czasie analitycy ESET zaobserwowali wiele operacji grupy Lazarus, których celami były m.in.:
- Sektor obronny i lotniczy w Europie i USA w ramach kampanii Operation DreamJob, w której fałszywe oferty pracy służyły do infekowania systemów ofiar.
- Deweloperzy kryptowalut, tworząc fałszywe platformy tradingowe i trojanizowane aplikacje do kradzieży środków.
- Firmy technologiczne i badawcze, używając metod takich jak spearphishing i złośliwe pliki MSC (Microsoft Management Console), które umożliwiają wykonanie dowolnych komend na zainfekowanych komputerach.
Jednym z bardziej znaczących ataków tej grupy były działania z przełomu 2022 i 2023 skierowane na jednego z polskich dostawców z branży zbrojeniowej. Cyberprzestępcy wysyłali do pracowników tej firmy fałszywe oferty pracy w Boeingu. Do akcji wykorzystano zainfekowaną wersję znanego programu do odczytywania plików PDF, a także specjalne złośliwe oprogramowanie do pobierania plików.
Grupa intensywnie wykorzystuje chmurowe usługi hostingowe, takie jak GitHub, Bitbucket czy Google Drive, do ukrywania i dystrybucji swojego złośliwego oprogramowania. Wśród nowych narzędzi Lazarusa pojawiły się BeaverTail i InvisibleFerret, które ułatwiają wieloplatformową kradzież kryptowalut i danych logowania.
Tym razem grupa Lazarus zaatakowała giełdę kryptowalut Bybit. Warto pamiętać o tym, że wraz ze wzrostami popularności i kursów kryptowalut, rośnie także liczba oszustw i ataków, które mają na celu kradzież tych wirtualnych środków. Z raportu ESET, podsumowującego najnowsze dane o cyberzagrożeniach wynika, że w drugiej połowie 2024 wykryto o 56 proc. więcej cryptostealerów (czyli złośliwego oprogramowania przeznaczonego właśnie do kradzieży kryptowalut) niż w pierwszym półroczu. Na celowniku cyberprzestępców często znajdowali się także użytkownicy z Polski – stając się czwartą najczęściej atakowaną grupą (po inwestorach z Peru, USA i Hiszpanii).
W związku z tym, że kryptowalut w zasadzie nie da się odzyskać, ich posiadaczy obowiązują szczególne środki ostrożności. Przede wszystkim warto unikać trzymania wszystkich kryptowalut na giełdzie. Najbezpieczniejszym rozwiązaniem jest przechowywanie większości środków w sprzętowych portfelach, które działają offline i są mniej narażone na ataki. W przypadku wyboru platformy online do przechowywania i zarządzania kryptowalutami – warto sprawdzić, czy dany dostawca ma dobre opinie, odpowiednie licencje i stosuje solidne zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe.
Dzięki swojej zdolności do infiltracji strategicznych sektorów oraz ciągłemu udoskonalaniu metod ataku, Lazarus pozostaje jedną z najbardziej aktywnych cyberprzestępczych grup na świecie. Jej działania nie tylko zagrażają globalnemu bezpieczeństwu, ale także pomagają finansować programy zbrojeniowe Korei Północnej.”