ラザログループ(Lazarus Group Guardians of Peace Whois Team)
北朝鮮政府によって運営されているとされる、不詳の個人で構成されるハッカーグループ
Lazarus Group については詳細は不明だが、研究者らは 2010 年以降
多くのサイバー攻撃
が彼らによるものであると指摘している。
サイバーセキュリティ組織によって付けられた名前には、Hidden Cobra (米国土安全保障省が北朝鮮政府による悪意のあるサイバー活動全般を指すために使用) やZINCまたはDiamond Sleet( Microsoftによる)などがある。
元北朝鮮偵察総局幹部工作員で脱北者のキム・グクソン氏によると、この部隊は北朝鮮内部では414連絡事務所として知られていると明かした。
ラザロ・グループは北朝鮮政府と強いつながりを持っており、米国司法省は、このグループが「世界的なサイバーセキュリティを弱体化し、…制裁に違反して違法な収益を生み出す」という北朝鮮政府の戦略の一部であると主張した。
北朝鮮は、特に韓国に対して、少数のオペレーターグループに対して非対称的な脅威を与える目的で
サイバー作戦
を実施することで犯罪利益等を得ている。
このグループが関与したと知られている最も古い攻撃は、2009 年から 2012 年にかけて行われた
「トロイ作戦」
として知られ、ソウルの韓国政府に対する洗練されていない分散型サービス拒否攻撃(DDoS) 技術を利用したサイバースパイ活動である。
彼らは2011年と2013年の攻撃にも関与していた。
ただ、2007年の韓国を標的とした攻撃にも彼らが関与していた可能性はある。
このグループで知られる注目すべき攻撃は、2014年11月24日の
ソニー・ピクチャーズ
への攻撃がある。
この攻撃を桁ソニー・ピクチャーズは未知の手段でハッキングされたと公開した。
加害者らは自らを「平和の守護者」と名乗ったうえ、大量のデータが盗まれ、攻撃後の数日間でゆっくりと漏洩し続けた。
このグループの一員であると主張する人物へのメディア等のインタビューでは、彼らが 1 年以上にわたってソニーのデータを吸い上げていたと明らかにした。
また、ハッカーらは、未公開の映画、特定の映画の脚本、今後の映画の計画、会社役員の給与に関する情報、電子メール、および約 4,000 人の従業員の個人情報にアクセスすることができたという。
2015 年にエクアドルの銀行から 1,200 万米ドル、ベトナムのティエンフォン銀行から 100 万米ドルを盗んだと報告されている。
また、ポーランドとメキシコの銀行も標的にした。
2016 年ノベッタ率いるセキュリティ企業連合は「オペレーション ブロックバスター」の名の下、さまざまなサイバー セキュリティ インシデントで見つかった
マルウェア サンプル
を分析することができた。
そのデータを使用して、チームはハッカーが使用した手法を分析した。
彼らは、コードの再利用パターンを通じて Lazarus グループを多数の攻撃に結び付けた。
2016年の銀行強盗ではバングラデシュ銀行への攻撃が含まれる。
バングラデシュ銀行サイバー強盗では、2016 年 2 月に発生した窃盗事件でバングラデシュ中央銀行に属する
ニューヨーク地区連邦準備銀行
の口座から 10 億米ドル近くを違法に送金するため
SWIFT ネットワーク
を介してセキュリティ ハッカーによって 35 件の不正な指示が発行された。
この事件では35件の不正指示のうち5件は1億100万ドルの送金に成功し、このうち2千万ドルがスリランカに、8千100万ドルがフィリピンに送金された。
ニューヨーク地区連銀は、指示のスペルミスによって生じた疑惑を理由に、残り30件(総額8億5000万ドル)の取引をブロックし阻止した。
サイバーセキュリティ専門家は、北朝鮮に本拠を置くLazarus Groupが攻撃の背後にいると主張した。
2017年、台湾極東国際銀行から6,000万米ドルを盗んだと報告された。
ただ、実際に盗まれた金額は不明であり、資金のほとんどは回収されている。
WannaCry攻撃では、 2017年5月12日に英国の NHSからボーイング、さらには中国の大学に至るまで、世界中の機関を襲った
大規模なランサムウェア サイバー攻撃
が行われた。
攻撃は7時間19分続き、ユーロポールは、150か国の約20万台のコンピューターに影響を及ぼし、主にロシア、インド、ウクライナ、台湾に影響を及ぼしたと推定している。
これは、クリプトワームを介した最初の攻撃の 1 つであったという。
クリプトワームは、TCP ポート 445 を悪用し、ネットワークを使用してコンピュータ間を移動できる最近のコンピュータ ウイルスです[34] )。感染するために、不正なリンクをクリックする必要もない。
マルウェアは、コンピュータから接続されているプリンタに、さらにそこから隣接するコンピュータ (おそらく Wi-Fi に接続されているなど) に自律的に拡散する可能性がある。
ポート 445 の脆弱性により、マルウェアはイントラネット上を自由に移動し、数千台のコンピュータに急速に感染した。
Wanacry 攻撃は、クリプトワームの最初の大規模な使用の 1 つであった。
カスペルスキー研究所は2017 年に、Lazarus はスパイ行為や侵入サイバー攻撃に集中する傾向があるのに対し、カスペルスキーが
Bluenoroff
と呼ぶ組織内のサブグループは金融サイバー攻撃を専門としていると報告した。
カスペルスキーは世界中で複数の攻撃を発見し、ブルーノロフと北朝鮮の間の直接リンク ( IP アドレス) を発見している。
ただ、カスペルスキーは世界規模の
WannaCryワームサイバー攻撃
が NSA の手法もコピーしていたことを考慮すると、コードの反復は捜査員を誤解させ、攻撃を北朝鮮に特定することを目的とした「偽旗」である可能性があることも認めている。
このランサムウェアは、 Shadow Brokersとして知られるハッカー グループが2017 年 4 月に公開した、EternalBlueとして知られる NSA エクスプロイトを利用していた。
Symantecは 2017 年に、Lazarus が WannaCry 攻撃の背後にいる可能性が「非常に高い」と報告した。
2018年、レコーデッド・フューチャーは、主に韓国の仮想通貨ビットコインとモネロのユーザーに対する攻撃にラザルス・グループを関連づける報告書を発表した。
これらの攻撃は、WannaCry ランサムウェアを使用した以前の攻撃や、ソニー ピクチャーズに対する攻撃と技術的に類似していると報告されている。
Lazarus ハッカーが使用した戦術の 1 つは、韓国のワープロ ソフトウェア
Hancom
のハングルの脆弱性を悪用したもの。
また、別の戦術は、マルウェアを含む
スピアフィッシングルアー
を使用しており、韓国の学生やコインリンクなどの仮想通貨取引所のユーザーに送信された。
ユーザーがマルウェアを開いた場合に電子メール アドレスとパスワードが盗まれた。
Coinlinkでは自社サイトやユーザーの電子メールとパスワードがハッキングされたことを否定した。
報告書は、「この 2017 年後半犯罪活動では、暗号通貨に対する北朝鮮の関心の継続であり、マイニング、ランサムウェア、および完全な窃盗を含む幅広い活動を包含していることが現在わかっています...」と結論付けた。
また、北朝鮮は国際的な金融制裁を回避するためにこれらの仮想通貨攻撃を利用していると続けた。
2017 年 2 月、北朝鮮のハッカーが韓国の取引所Bithumbから 700 万米ドルを盗んだ。
韓国の別のビットコイン取引所である Youbit は、以前の攻撃に続くサイバー攻撃によって資産の 17% が盗まれた。
その後、2017 年 12 月に破産を申請した。
ラザロと北朝鮮のハッカーが攻撃を実行したと見られる。
仮想通貨クラウドマイニング市場であるNicehash は、2017 年 12 月に 4,500 ビットコイン以上を失った。
調査に関する最新情報では、この攻撃は Lazarus Group に関連していると言われている。
2019 年 9 月中旬、米国は、ElectricFish と呼ばれるマルウェアの新バージョンに関する一般警告を行った。
2019年の初め以来、北朝鮮の工作員は世界中で5件の大規模なサイバー窃盗を試みた。
その中にはクウェートの機関からの4,900万ドルの窃盗事件も含まれている。[
新型コロナウイルス感染症(COVID-19)のパンデミックにより、製薬会社がラザラス・グループの主要な標的となった。
Lazarus グループのメンバーは、スピア フィッシング手法を使用して保健当局を装い、悪意のあるリンクを使って製薬会社の従業員に連絡しました。
複数の大手製薬会社が標的になったと考えられているが、確認されているのは英国スウェーデン資本の
アストラゼネカ
だけだ。
ロイター通信の報道では、
アストラゼネカの幅広い従業員が標的となり、その中には新型コロナウイルス感染症ワクチン研究に携わる従業員も含まれていたという。
これらの攻撃における Lazarus グループの目的は不明。
2022 年 3 月、Lazarus Group は、 Axie Infinityゲームで使用されるブリッジである Ronin Network から 6 億ドル相当を盗んだことが判明した。
FBIは、「調査を通じて、[北朝鮮]に関連するサイバー攻撃者であるLazarus GroupとAPT38が窃盗に関与していることを確認することができた」と述べた。
FBI は、2022 年 6 月 24 日に報告されたハーモニーの
ホライズン ブリッジ
からの 1 億ドルの仮想通貨盗難事件について、北朝鮮の悪意のあるサイバー攻撃者グループ Lazarus (APT38 としても知られる) が関与していたことを確認した。
ブロックチェーンセキュリティプラットフォームのImmunefiが発行した報告書では、2023年の
暗号通貨ハッキング事件全体で3億ドル以上の損失
を被ったのはLazarusだと主張している。
この金額は、今年の損失総額の17.6%に相当する。
2023年6月に、1億ドルを超える暗号通貨がAtomic Walletサービスのユーザーから盗まれた。
なお、これは後にFBIによって確認された。[
2023年9月、FBIは、オンラインカジノおよび賭博プラットフォームであるStake.comからの4,100万ドルの暗号通貨の盗難がLazarus Groupによって実行されたことを認めた。
2022 年 4 月 14 日、米国財務省OFACは北朝鮮制裁規則第 510.214 条に基づいてLazarus をSDN リストに加えた。
北朝鮮のハッカーは職業訓練のため中国の瀋陽に派遣され、あらゆる種類のマルウェアをコンピュータ、コンピュータ ネットワーク、およびサーバーに展開するように訓練されている。
北朝鮮国内の教育機関には、金策工科大学、金日成大学、モランボン大学があり、全国から最も優秀な学生を選抜し、6年間の特殊教育を受けさせ情報工作員として育成しているという。
ブルーノロフ(BlueNorOff 別名: APT38、Stardust Chollima、BeagleBoyz、NICKEL GLADSTONE [60] ) は、 SWIFTからの注文を偽造することによる違法な送金を担当する金銭目的のグループのこと。
ブルーノロフは、 APT38 ( Mandiantによる) およびStardust Chollima ( Crowdstrikeによる)とも呼ばれる。
米軍の2020年の報告書によると、ブルーノロフの構成員は約1,700人で、長期的な評価に集中し、敵のネットワークの脆弱性やシステムを悪用して政権の金銭的利益を得る、あるいはシステムを掌握するという金融サイバー犯罪を実行している。
彼らは、2014 年から 2021 年の間にバングラデシュ、インド、メキシコ、パキスタン、フィリピン、韓国、台湾、トルコ、チリ、ベトナムの少なくとも 13 か国[a]の 16 以上の組織を含む金融機関と仮想通貨取引所をターゲットにしてきた。
この収益はミサイルや核技術の開発に充てられると考えられている。
アンダリアル(AndAriel Andaria、別名: Silent Chollima、Dark Soul、Rifle、Wassonite ) は、韓国をターゲットにしているという点で兵站的に特徴付けられている。
韓国のどの組織も アンダリアルに対して脆弱と言われており、標的には、政府、国防、あらゆる経済的象徴が含まれている。
米軍の2020年の報告書によると、アンダリアルには約1,600人の隊員がおり、その任務は偵察、ネットワークの脆弱性の評価、潜在的な攻撃に備えて敵のネットワークをマッピングすることと言われる。
彼らは韓国に加えて、他の政府、インフラ、企業も標的にしている。
攻撃ベクトルには、ActiveX、韓国ソフトウェアの脆弱性、水飲み場攻撃、スピア フィッシング(マクロ)、IT 管理製品 (ウイルス対策、PMS)、サプライ チェーン(インストーラーとアップデーター) が含まれる。
使用されたマルウェアには、Aryan、Gh0st RAT、Rifdoor、Phandoor、およびAndarat が含まれる。
2021年2月、米国司法省は、北朝鮮の軍事情報機関である偵察総局のメンバー3名
ジン・ヒョク
ジョン・チャンヒョク
キム・イル・パク
をラザロの複数のハッキングキャンペーンに参加した罪で起訴した。
ジン・ヒョクは2018年9月初めにすでに起訴されていたが、彼らは米国で拘留されていない。
また、カナダ人1名と中国人2名も、ラザロ・グループのマネー・ミュールおよび資金洗浄を行った容疑で起訴された。