Безопасность. Lazarus — северокорейская хакерская группировка. Перевод и вопросы Menaskop

Заметка от Menaskop

Lazarus я пытаюсь изучать уже несколько лет и каждый раз наталкиваются на кучу данных, которые никак меж собой не соотносятся логично. Зато простая гипотеза, что Лазарус - это лишь множество групп, скомпонованных в одну для отвода глаз, работает. Вот и в этой статье вопросов родилось больше, чем ответов. Но хотя бы форму какую-то обретает структура. Пробуем разобраться вместе за несколько шагов...

Перевод

Это перевод статьи: revista.unap.ro/index.php/XXI_CSSAS/article/view/1354/1314 - там же см. все ссылки на первоисточники.

Аннотация

Корейская Народно-Демократическая Республика (КНДР) известна своей бедностью, нищетой и отсталостью, однако, несмотря на эти негативные черты, она является одной из наиболее продвинутых стран в сфере кибервойны.

В новостях регулярно появляются сообщения о кибератаках на различные государства, СМИ и банки, за которыми, по мнению экспертов, стоит поддерживаемая КНДР хакерская группировка «LAZARUS».

По последним данным, эта группа оказалась в центре внимания из-за кражи крупной суммы криптовалюты и последующей отмывки денег.

Государство официально отрицает существование данной группировки, однако кибер-аналитики и специалисты по безопасности нашли как прямые, так и косвенные доказательства, подтверждающие связь северокорейского государства с этой хакерской группой.

Введение

Распад социалистического мирового порядка стал серьёзным вызовом для экономики Северной Кореи. Страна потеряла своих союзников и рынки, и сегодня её основным торговым партнёром является Китай.

Несмотря на выгодное географическое положение и богатые минеральные ресурсы, экономика КНДР находится в глубоком кризисе из-за десятилетий неэффективного управления, нехватки инвестиций, неправильного распределения ресурсов, плохого обслуживания инфраструктуры и коррупции. Большая часть населения постоянно недоедает и живёт в условиях крайней нищеты. [Прим. Menaskop: и ни слова про санкции].

Северокорейское правительство тратит до 24% ВВП на военные нужды и оборонную промышленность.

Армия КНДР — одна из крупнейших в мире по численности, насчитывая более миллиона человек, однако её оснащение морально устарело. Большая часть военного бюджета направляется на разработку ядерного оружия и баллистических ракет, что осуждается мировым сообществом, за исключением Ирана.

Северная Корея использует свою ядерную программу в качестве инструмента шантажа для получения продовольствия и другой помощи из-за рубежа.

В зависимости от ситуации, правительство либо следует международным соглашениям, либо нарушает их. [Прим. Menaskop: можно подумать, что другие государства поступают иначе?].

В 2001 году США объявили Северную Корею «государством-изгоем», после чего, совместно с ООН, ввели санкции на денежные операции, экспорт и импорт с целью сдерживания ее ядерной и ракетной программ (United States Department of State, 2019). [Прим. Menaskop: а здесь уже отсылка есть, но вне контекста экономики].

Социалистическое руководство КНДР разработало два основных выхода из, казалось бы, безнадёжной ситуации.

Первый — усиление давления на международное сообщество посредством ядерного шантажа.

Второй — новая киберстратегия, обеспечивающая защиту киберпространства страны, доступ к передовым технологиям, а также финансирование ядерной и ракетной программ.

Руководство КНДР осознало, что страны с высокой степенью проникновения компьютерных сетей и интернета уязвимы для кибератак и кибершпионажа. Оно также признало, что кибервойна является экономически эффективной: при относительно небольших вложениях можно получить значительную выгоду (Bartlett 2020a).

Последний элемент их киберстратегии напоминает тактику, придуманную королевой Елизаветой I в XVI веке, известную как «стратегическое преступление». Как известно, королева поощряла своих каперов — «морских псов» — грабить суда для пополнения казны (Arquilla 2021, 4).

Кибер-организация и технологическая база Северной Кореи

Кибер-деятельность Северной Кореи координируется Генеральным штабом Корейской народной армии, Разведывательным генеральным бюро (RGB) и Трудовой партией Кореи (Center for Strategic & International Studies, 2014).

По данным США, именно Разведывательное генеральное бюро отвечает за кибератаки (Cha & Lewis, 2014, 26). В связи с этим основное внимание в данном исследовании уделяется этой структуре, после рассмотрения технологической и образовательной базы Северной Кореи.

1.1. Промышленная и технологическая база

Развитие кибер-возможностей в Северной Корее началось в конце 1980-х годов, но настоящий прорыв произошёл в конце 1990-х, когда в Университете имени Ким Ир Сена был основан Колледж компьютерных наук, а также создано Министерство электроэнергетики.

Руководство страны провозгласило науку и технологии одной из трёх опор для достижения статуса «мощной и процветающей нации» (ROK Ministry of Unification, 2015).

КНДР систематически развивала свою IT-индустрию, делая акцент на разработку программного обеспечения. Это направление играет важную роль в образовании как на среднем, так и на высшем уровне.

В стране также ведутся собственные разработки и производство аппаратного обеспечения и полупроводников.

По оценкам южнокорейской полиции, около 10 000 северокорейских IT-специалистов работают за границей, главным образом в китайских городах Шэньян и Даньдун, где у них есть доступ к передовым технологиям в области аппаратного и программного обеспечения (Seok & Sang-ki, 2008, 7).

Ключевыми центрами разработки программного и аппаратного обеспечения в КНДР являются Корейский компьютерный центр и Пхеньянский центр информатики. [Прим. Menaskop: по-моему, за 3 абзаца - 2 противоречеия, но об этом - см. ниже].

В стране функционируют четыре независимых внутренних интернет-сети, одна из которых предназначена для военных нужд, а остальные — для правительственных. Все они находятся под строгим контролем и надёжной кибер-защитой.

Корейский компьютерный центр (KCC)

Корейский компьютерный центр был основан в 1990 году. Он отвечает за исследования и разработки, производство аппаратного и программного обеспечения, а также курирует IT-образование на университетском уровне.

Центр имеет право вести международную торговлю и, по некоторым данным, имеет филиалы в Германии, Китае и Сирии. Кроме того, он участвует в кибератаках, используя свои дочерние компании в качестве прикрытия (Jun et al., 2015, 54).

Основное направление разработки программного обеспечения в KCC — операционные системы на базе Linux.

Центр создал операционную систему Red Star, которая стала первой северокорейской операционной системой и значительным экспортным программным продуктом. В KCC работает более 1000 человек, из которых более 100 имеют учёную степень PhD (Jun et al., 2015, 54). [Прим. Menaskop: Насколько “продвинута” эта ОСь - можно почитать в Wiki: ru.wikipedia.org/wiki/Red_Star_OS].

Организация неоднократно обвинялась в преступлениях, связанных с кибер-деятельностью, особенно в атаках на Южную Корею.

В конце 1990-х годов сотрудники KCC разрабатывали нелегальные игровые модификации для популярных компьютерных игр, которые фактически представляли собой шпионское ПО. Эти эксплойты продавались под ложным (национальным) флагом (под видом китайских разработчиков) в Южной Корее (Seok-woo, 2011).

Пхеньянский центр информатики (PIC)

Пхеньянский центр информатики (PIC) был основан в 1986 году и расположен в районе Кёнхын-дон, в Пхеньяне. Центр в основном занимается разработкой программного обеспечения. В нём работает более 500 человек, включая 180 исследователей, из которых 30 имеют степень PhD.

Сотрудники PIC разработали текстовый редактор Changduk и программное обеспечение для обработки корейского языка Dangun, которые широко используются в Северной Корее. У центра также есть филиалы в Японии и Сингапуре.

В начале 2000-х годов PIC был центром межкорейского IT-сотрудничества в рамках южнокорейской «Политики солнечного света». Это сотрудничество продолжалось до тех пор, пока в марте 2010 года северокорейская подлодка не торпедировала южнокорейский военный корабль ROK Cheonan.

В ответ Южная Корея запретила всю торговлю и инвестиции между двумя странами.

Первоначальные планы PIC предусматривали создание конкурентоспособных программных продуктов и даже строительство аналога Кремниевой долины в городе Даньдун, Китай (Seongwook, 2009).

Во время сотрудничества южнокорейские партнеры посещали центр и отмечали высокий уровень подготовки северокорейских программистов, особенно в области кибербезопасности, где они опережали своих южнокорейских коллег (Seunghyun, 2004).

1.2. Образовательная база

Одним из приоритетов северокорейского правительства является создание образовательной базы для ведения кибервойны. В рамках этой стратегии в ведущих IT-университетах страны были введены программы подготовки хакеров.

Согласно данным перебежчиков, в мае 2020 года военные рекрутировали более 100 хакеров из лучших университетов науки и технологий для управления внутренними сетями и тактическими системами планирования.

Одним из таких вузов является Технологический университет Ким Чхэка.

Ещё один важный учебный центр — Колледж Мирим, где ежегодно выпускается более 100 хакеров.

По данным северокорейских перебежчиков, студенты изучают операционные системы MS Windows, учатся создавать разрушительные компьютерные вирусы и программировать на различных языках. [Прим. Menaskop: звучит устрашающе, но маловато пока фактов для научно или даже около научной статьи, претендующей на исследование].

1.3. Организационная база

Разведывательное генеральное бюро (RGB)

Первый официальный отчёт о Разведывательном генеральном бюро (RGB) появился в 2009 году.

Аналитик Джозеф Бермудес описывает RGB как новое разведывательное подразделение, созданное путём объединения различных спецподразделений и разведывательных служб (Bermudez, 2010).

Эти подразделения занимаются командными операциями, разведкой, саботажем, радиоперехватом и проведением тайных операций.

До 2010 года северокорейские киберв-озможности были распределены между различными государственными агентствами, однако теперь именно RGB отвечает за разведывательную деятельность, в том числе за преступления в сфере киберпространства.

RGB также создаёт компании и совместные предприятия в Азии, чтобы маскировать свои нелегальные финансовые операции, включая отмывание денег (Bartlett, 2020a).

Из-за строгой цензуры и закрытого характера северокорейского общества получить достоверную информацию о подразделениях RGB сложно.

Однако известно, что в Северной Корее действует практика давать подразделениям названия, которые не отражают их истинные функции.

На сегодняшний день через свои подразделения по всему миру RGB контролирует более 6000 кибер-агентов, одним из которых является группировка "LAZARUS", деятельность которой будет рассмотрена далее (Bartlett, 2020a).

Теоретическая организационная структура RGB представлена на рисунке 1.

Рисунок 1: Выявленные северокорейские киберподразделения, управляемые разведкой. Источник: cnas.org/publications/reports/exposing-the-financial-footprints-of-north-koreas-hackers - дополнено автором оригинальной статьи.

Bureau 121

Bureau 121 — это главное кибер-подразделение Северной Кореи. Его задачи включают наступательные и оборонительные кибероперации, кибершпионаж, эксплуатацию сетей и киберпреступления.

В разных источниках его называют по-разному: Unit 121, Bureau 121 и другими наименованиями.

Открытая информация о структуре и численности персонала отсутствует.

По словам северокорейских перебежчиков, в 2013 году для сотрудников Bureau 121 в северной части Пхеньяна построили новый комплекс зданий с элитными квартирами (Jun et al., 2015, 41). Спутниковые снимки не подтвердили эти данные, но и не опровергли, так как важные объекты в Северной Корее часто скрыты под землей.

Лаборатория исследований компьютерных технологий (Computer Technology Research Lab)

Это особенно интересное подразделение, так как оно продемонстрировало достаточно высокий уровень подготовки, чтобы осуществлять атаки на финансовые институты Южной Кореи.

Эти данные были опубликованы в открытом отчёте в 2013 году (Soonpyo Park, 2013).

На сегодняшний день информация о существовании данного подразделения отсутствует. Возможно, оно было расформировано или интегрировано в другие структуры.

1-е Оперативное Бюро / Офис связи 414 / Офис связи 128

Южнокорейские источники и исследования часто упоминают эту организацию как одно из ключевых кибер-подразделений, входящих в состав Разведывательного генерального бюро (RGB).

В северокорейской терминологии слово "связь" (liaison) означает поддержку разведывательных операций и спецопераций против Южной Кореи.

Это подразделение:

• Обеспечивает связь с тайными агентами, действующими за границей.
• Ведёт наблюдение за правоохранительными органами Южной Кореи (Lee, 2014).
• Вероятно, разрабатывает кибер-инструменты для более дешёвой и эффективной разведки и связи с агентами.

Также возможно, что это подразделение делится своими кибер-инструментами с другими подразделениями RGB.

Однако утверждение о его крупномасштабной деятельности может быть преувеличением. [Прим. Menaskop: и так - повсюду: преувеличено, неизвестно, etc.].

2. Группа "LAZARUS"

Группа "LAZARUS" — кибер-преступная организация, контролируемая северокорейской разведкой (RGB).

Группа занимается атаками на государственные учреждения, военные объекты, финансовые организации, производственные предприятия, издательства, СМИ, телекоммуникационные компании, транспортные корпорации, образовательные учреждения и критически важную инфраструктуру.

Основные методы:

• Кибершпионаж
• Кража данных
• Финансовые хищения
• Атаки с использованием вредоносного ПО

Группа "Lazarus" изначально была создана для поддержки северокорейской ядерной и баллистической программы путём кибершпионажа и финансовых махинаций. В отличие от многих других государственных хакерских группировок, основная цель "Lazarus" — финансовая выгода.

Численность группы неизвестна, но эксперты в области кибербезопасности относят её к категории Advanced Persistent Threat (APT) из-за высокой степени организации.

Различные компании по кибербезопасности присвоили группе разные названия:

• Lazarus Group (Kaspersky)
• Labyrinth Chollima (CrowdStrike)
• Group 77 (Talos)
• Hastati Group (SecureWorks)
• Whois Hacking Team (McAfee)
• New Romanic Cyber Army Tea (McAfee)
• Zinc (Microsoft)
• Hidden Cobra (Trend Micro)
• Appleworm (Неизвестно)
• APT-C-26 (Qihoo 360)
• ATK 3 (Thales)
• SectorA01 (ThreatRecon)
• ITG03 (IBM)

Структура группы "LAZARUS"

По некоторым данным, группа состоит из трёх подразделений, каждое из которых выполняет свою уникальную миссию, но при этом они обмениваются информацией, тактиками и инструментами. [Прим. Menaskop: судя по названиям выше и данному тезису, можно также утверждать, что это просто разные/независимые группы, которые обмениваются информацией].

2.1. Подразделения группы "LAZARUS"

Подразделение 1: Andariel (также известное как Silent Chollima)

Andariel специализируется на кибератаках против государственных организаций и бизнеса Южной Кореи, используя специально разработанные вредоносные программы.

Основные задачи:

• Разработка и создание уникального вредоносного ПО для взлома онлайн-покера и азартных сайтов с целью кражи денег.
• Проведение таргетированных атак на южнокорейских госслужащих и военных для сбора разведданных.

Подразделение 2: Beagle Boyz

Beagle Boyz — подразделение, ответственное за массированные атаки на банкоматы, известные как FASTCash (идентифицированы в октябре 2018 года).

Основные операции:

• С 2016 года группа атаковала инфраструктуру розничных платёжных систем банков, похищая миллионы долларов.
• По данным американских спецслужб (us-cert.cisa.gov, 2020), с 2015 года Beagle Boyz пытались украсть более $2 миллиардов.
• Их атаки наносят серьёзный ущерб финансовым организациям, включая репутационные и экономические потери.

Подразделение 3: Bluenoroff (также известное как APT 38 или Stardust Chollima)

Bluenoroff специализируется на атаках против зарубежных финансовых учреждений.

Основные операции:

• Организация финансовых преступлений, включая атаку на систему SWIFT в 2016 году (банки в 11 странах пострадали, похищено $81 миллион).
• Масштабные кибератаки на банки, финансовые фонды и инвестиционные компании.

2.2. Деятельность группы "LAZARUS"

Группа появилась в 2007 году во время операции "Flame", в ходе которой атакованы важнейшие государственные структуры Южной Кореи. Тогда были парализованы финансовые и политические веб-сервисы.

С этого момента "Lazarus" находится в центре внимания компаний, специализирующихся на кибербезопасности, так как за группой числятся десятки атак. Среди наиболее известных:

• Атака "Blockbuster" (2014) — взлом Sony Pictures.
• Атака на систему SWIFT (2016) — кража $81 млн.
• WannaCry (2017) — крупнейшая в истории атака с применением вымогательского ПО.

Во время атаки Wanna Cry было заражено более 300 000 компьютеров в 150 странах (Hern & MacAskill, 2017).

Среди пострадавших:

• Национальная служба здравоохранения Великобритании (NHS). Атака парализовала более трети всех больниц в стране.
• Отменено 19 000 медицинских приёмов, а ущерб составил более $112 миллионов.

Целевые объекты: банки, банкоматы и криптовалюты

Подразделение Beagle Boyz атаковало банкоматы в более чем 30 странах, похитив сотни миллионов долларов. В одном из случаев африканский банк не мог обслуживать клиентов в течение двух месяцев (Us-cert.cisa.gov, 2020).

В последние годы, с ростом популярности криптовалют, Lazarus начал атаковать криптобиржи:

• Они использовали анонимность криптовалют для кражи и отмывания украденных денег.
• По данным ООН, к середине 2019 года Северная Корея похитила более $2 млрд за счёт атак на банки и криптовалютные биржи (Arquilla, 2021).

Кража передовых технологий

Из-за санкций и нехватки ресурсов Северная Корея крадёт передовые технологии у развитых стран.

Примеры атак:

• Операция "GhostSecret" (2018) — атака на университеты, телекоммуникационные компании и критически важные инфраструктуры в 17 странах (включая США).
• Разработка нового вредоносного ПО для атак на интернет вещей (IoT)** (Kaspersky, 2020).
• Создание вредоносных программ, работающих на Windows, Linux и iOS.

Кроме того, Lazarus покупает данные у киберпреступников. Исследователи Kaspersky обнаружили, что группа является клиентом Trickbot, которая продаёт информацию о критически важных сетях. [Прим. Menaskop: прошу заметить, как часто фигурирует компания Kaspersky и при этом санкции США на её счёт - вполне себе доказательство того, на кого работает компания].

Мировая угроза

Изначально группа атаковала Южную Корею и США, но теперь она представляет угрозу для всего мира.

Список стран, пострадавших от атак "LAZARUS":

1. Австралия
2. Бангладеш
3. Бразилия
4. Канада
5. Чили
6. Китай
7. Эквадор
8. Франция
9. Германия
10. Гватемала
11. Гонконг
12. Индия
13. Израиль
14. Япония
15. Мексика
16. Филиппины
17. Польша
18. Россия
19. ЮАР
20. Южная Корея
21. Тайвань
22. Таиланд
23. Великобритания
24. США
25. Вьетнам

Этот список подтверждает, что группа "Lazarus" ведёт глобальную деятельность и представляет угрозу международной безопасности. [Прим. Menaskop: при этом правительства РФ и Китая напрямую поддерживают КНДР: это ли не странно?].

2.3. Основные тактики

В этом разделе рассмотрены основные тактики, используемые группой "Lazarus". Эти методы формируют сложную систему, которая помогает группе достигать своих целей, скрывать следы, а в некоторых случаях уничтожать целевые инфраструктуры, создавая условия для правдоподобного отрицания вины.

1. Деструктивные атаки (Disruption)

Для парализации и уничтожения систем противника используются:

• DDoS-атаки
• Удаление данных с жёстких дисков (wipers)
• Разрушение главной таблицы файлов (MFT destroyers)

2. Маскировка (Misdirection)

Группа маскирует свои атаки под деятельность хактивистов, создавая виртуальные группы, такие как GOP, WhoAmI, New Romanic Army. [Прим. Menaskop: почему это, наличие разных групп, не может быть правдой, я за последние годы так нигде и не услышал].

Lazarus также подделывает методы хактивистов, взламывая сайты и публикуя украденную информацию. [Прим. Menaskop: при этом при взломах Bybit и других они напрямую смешивают криптовалюту разных периодов и разных взломов, что выглядит на фоне описанной методологии, мягко скажем, странно].

Вредоносные инструменты могут содержать "ложные следы". Например, в бэкдоре "KLIPOD" использовались латинизированные русские слова для команд. [Прим. Menaskop: почему это не может быть прямым указанием на “русский след”? Непонятно, как и все тезисы предыдущие].

3. Защита вредоносного ПО (Protectors)

Lazarus использует коммерческие упаковщики (например, exepackers) для защиты вредоносных программ.

В некоторых атаках применяются и защищенные, и незащищенные версии ПО на одном объекте.

4. Анти-форензика (Anti-Forensics)

Вредоносное ПО разделяется на функциональные модули, что затрудняет анализ (особенно активно используется подразделением Bluenoroff).

Код обфусцируется, что мешает обратному (реверсивному) анализу.

5. Командные инструменты (Command line tools)

Используются бэкдоры, управляющиеся через командную строку.

Программы устанавливаются с помощью специальных (инструментов) (например, P-адрес C2-сервера или пароли).

Примеры таких инструментов: "Nestegg" и "KLIPOD".

6. Удаление следов (Disk wipers)

Инструменты для стирания данных раньше использовались для уничтожения систем, но теперь они предназначены для скрытия следов атак.

Используются специализированные программы для стирания MFT-таблиц, файлов prefetch, реестра и логов событий.

2.4. Техническая и операционная поддержка из-за рубежа

Северная Корея получает значительную поддержку от Китая и Индии, которые:

• Обеспечивают доступ к передовым технологиям
• Предоставляют академическое обучение
• Игнорируют международные санкции

[Прим. Menaskop: ровно это я высказал давно в своей гипотезе и недавно подтвердил на Forklog: не надо ничего придумывать - большие страны прикрываются С. Кореей как щитом].

Китай

Северокорейские преступные синдикаты нанимают китайских граждан, имеющих доступ к современным технологиям. [Прим. Menaskop: почему это не могут быть просто китайские хакеры - ноль объяснений].

В марте 2020 года Министерство юстиции США обвинило двух китайцев в попытке отмыть более $100 млн в пользу Северной Кореи. [Прим. Menaskop: опять же - ровно история о китайцах, не корейцах].

Северокорейские студенты обучаются в ведущих китайских университетах, получая доступ к новейшим технологиям. [И?].

Официальное академическое партнёрство между Китаем и КНДР (2020–2030) было продлено в 2019 году (Bartlett, 2020).

Индия

Центр космической науки и технологий Азии и Тихоокеанского региона (CSSTEAP) обучает северокорейских студентов по передовым научно-техническим программам.

Северная Корея получает доступ к современным компьютерам, программному обеспечению и аппаратным решениям.

Это содействует кибератакам Lazarus и способствует финансированию ядерной программы КНДР.

Северная Корея официально входит в число 16 стран-подписантов соглашения CSSTEAP.

Заключение

Группа "Lazarus" является типичным примером государственно-спонсируемой киберпреступности, представляющей глобальную угрозу.

Основные направления атак:

• Финансовая система** (банки, криптовалюты, банкоматы)
• Передовые технологии** (промышленный шпионаж)
• Образование и наука** (атаки на университеты)
• Телекоммуникации** (инфраструктурные атаки)

Международные санкции не останавливают деятельность группы, пока у Северной Кореи есть поддержка Китая и Индии.

"Lazarus" и его последователи будут продолжать существовать, пока сохраняется текущая политическая ситуация в КНДР.

Выводы Menaskop

Взявшись этот материал, случайно попавшися мне в группе https://t.me/synergis, я ожидал прочитать (в первый раз за столько лет) что-то дельное про Лазарус, но в итоге увидел ровно то, о чём говорю последние годы:

1. Никаких верифицированных данных по работе одной группы, да ещё связанной с КНДР, просто не существует;
2. Зато существуют данные о связи с РФ, Китаем, Индией и другими странами;
3. Поэтому Лазарус - это лишь щит, который защищает всех от нападок друг друга и не более.

Может быть, когда-нибудь, мне попадётся что-то более дельное и там наконец-то секреты группировки приоткрываются, но пока это выглядит как удобный для государств миф и не более.

До!