Grupa Lazarus: Severnokorejski hakeri od kojih strahuje svet

Hakerska grupa Lazarus ponovo je u centru pažnje svetskih medija nakon što je BBC objavio priču o tome kako su pokušali da ukradu skoro milijardu dolara iz jedne banke. O ovoj grupi nema mnogo podataka, ali se veruje da ima jake veze sa Severnom Korejom. Američki savezni istražni biro kaže da je Lazarus grupa severnokorejska ogranizacija za hakovanje koju finanasira država.

Najraniji poznati napad koji je ova grupa izvela bio je poznat kao „oparacija Troja“ i dogodio se od 2009. godine do 2012. godine. Ovo je bila sajber-špijunska kampanja koja je koristila nesofisticirane distribuirane tehnike za napade na vladu Južne Koreje u Seulu. Oni su takođe odgovorni za napade na istu metu od 2011. do 2013. godine. Moguće je da su stajali i iza napada 2007. godine, ali to nije potvrđeno.

Značajan napad koji je ova grupa izvela bio je onaj iz 2014. godine na Soni Pikčers. Za ovaj napad su koristili sofistiranije tehnike i on je pokazao da je ova grupa vremenom postala naprednija.

Njihove mete su često bile banke i to one u Ekvadoru, Poljskoj, Meksiku… Godine 2016. napali su Banku Bangladeš i ukrali 81 milion dolara. Godine 2017. ukrali su 60 miliona dolara od banke na Tajvanu. Većina sredstva su vraćena.

Nije jasno ko zaista stoji iza grupe, ali izveštaji medija sugerišu da grupa ima veze sa Severnom Korejom. Laboratorija Kasperski izvestila je 2017. godine da je Lazarus imao tendenciju da se koncetriše na špijunske i infiltracione sajber napade, dok se podgrupa ove organizacije specijalizovala za finansijske krađe.

„Wanna cry“

Godine 2017. dogodio se veliki hakerski napad „WannaCry“ virusom koji blokira računar i ne dozvoljava korišćenje dok se hakerima ne isplati otkup.

Iako je najpre Severna Koreja okrivljena za napad, u međuvremenu se pojavila komplikovana priča o usponu ozloglašene hakerske grupe Lazarus, čije uporište je navodno na severoistoku Kine. Prema navodima AP-a, oni su stvorili virtuelnu „fabriku virusa“, koja bi u budućnosti mogla da napravi mnogo više štete.

Decembra 2014. godine, samo mesec dana nakon katastrofalnog napada na kompaniju Soni Pikčers, terenski ogranak Federalnog istražnog biroa (FBI) izdao je saopštenje za štampu u kome je za napad okrivljena Severna Koreja, nazvavši takve sajber napade „jednom od najvećih pretnji nacionalnoj bezbednosti“ SAD.

Industrijski konzorcijum predvođen analitičkom kompanijom Noveta pokrenuo je „Operaciju Blokbaster“ i 2016. godine izdao detaljan izveštaj, koji je zaključio da je napad maslo „struktuirane, finansirane i motivisane organizacije“, međutim, nije bilo dovoljno dokaza da se neka država direktno poveže sa napadom.

Tadašnji izveštaj došao je i do zaključaka da je napad sprovela „jedna grupa ili moguće više vrlo povezanih grupa, koje su delile tehničke resurse, infrastrukturu i zadatke“.

Detalji o grupi

Istražitelji u kompaniji za sajber bezbednost Kasperski, koja je takođe bila uključena u „Blokbaster“, iznela je nalaze da su napadači Lazarusa locirani u vremenskog zoni osam ili devet sati ispred griničkog srednjeg vremena. Opisu odgovaraju Kina, Malezija, delovi Indonezije, između ostalog, jer prema nalazima Kasperskog, grupa počinje sa radom oko ponoći po griničkom vremenu, a pravi pauzu za ručak tri sata kasnije. Prema njihovim procenama, hakeri spavaju šest-sedam sati.

Direktor azijsko-pacifičkog istraživanja u firmi za sajber bezbednost „Flešpoint“, Džon Kondra, naglasio je da makar neki članovi grupe Lazarus rade iz Kine, a moguće je da se među njima nalaze i severnokorejski državljani.

„Rasprostranjeno je verovanje da makar neke jedinice severnokorejskih hakera rade sa područja severoistočne Kine, iz grada Šenjanga posebno, ali čvrstih dokaza je malo. Vrlo je moguće da je Lazarus grupa sastavljena i od kineskih i od severnokorejskih državljana“, rekao je Kondra.

Kasperski je istraživao Lazarus grupu i drugom prilikom, nakon pokušaja pljačke 900 miliona američkih dolara iz Centralne banke Bangladeša u februaru prošle godine.

Prema nalazima tadašnjeg istraživanja, Kasperski je došao do zaključka da Lazarus veoma brzo napreduje sa svojim aktivnostima.

Pokrali Banku Bangladeš

Ipak mediji ih i dalje nazivaju „severno korejski hakeri“ pa je tako BBC objavio detaljnu priču o njihovoj pljački Banke Bangladeša, kada su uzeli 81 milion dolara, a ciljali su na milijardu. Ipak sasim slučajno većina transfera je zaustavljena.

Banka Bagladeša je centralna banka te zemlje i odgovorna je za nadzor dragocenh devizinih rezervi zemlje u kojoj milioni ljudi živi u siromaštvu.

Štampač je odigrao ključnu ulogu. Nalazi se u izuzetno obezbeđenoj sobi na 10. spratu glavne kancelarije banke u Daki, glavnom gradu Bangladeša. Njegov posao bio je štampanje zapisa o višemilionskim transferima koji su ulazili i izlazili iz banke, prenosi BBC.

Da bi odneli novac, sajber banda je koristila lažne bankovne račune, dobrotvorne organizacije, kazina i široku mrežu saučesnika.

Prema istražiteljima, digitalni otisci prstiju pokazali su samo jedan pravac – prema vladi Severne Koreje.

To što je Severna Koreja bila osumnjičena za sajber zločin, za mnoge je bilo iznanađenje. To je jedna od najsiromašnijih zemalja na svetu i uglavnom je odvojena od globalne zajednice – tehnološki, ekonomski i na skoro svaki drugi način.

Kako je osoblje banke ponovo pokrenulo štampač, dobili su vrlo zabrinjavajuće vesti. Iz njega su izašle hitne poruke banke Federalnih rezervi u Njujorku „Fed“ – gde Bangledaš ima račun u dolarma. Fed je dobio uputstvo očigledno od Banke Bangladeš da isprazni ceo račun – blizu milijardu dolara.

Iz Bangladeša su pokušali da kontaktiraju Fed radi razjašjenja, ali zahvaljujući hakerima nisu mogli da se probiju.

Hakovanje je počelo oko 20 časova po bangladeškom vremenu u četvrtak 4. februara. Ali u Njujorku je bilo jutro, što bi Fedu dalo dovoljno vremena da izvrši plaćanje hakerima dok je Bangladeš spavao. Sledećeg dana u petak počeo je vikend u Bangladešu koji je traje petak i subotu. Tako da je sedište u Daki imalo dva slobodna dana. A kada su u Bangladešu u subotu otkrili krađu u Njujorku je već bio vikend.

Hakeri su imali još jedan trik u rukavu, kako bi kupili vreme. Kada su dobili novac iz Feda, morali su negde da ga sklone. Tako su ga povezali sa računima koje su otvorili u Manili na Filipinima.

Potom su pokušali da uvedu kazina u svoj plan. Ideja je bila da se prekine lanac sledljivosti novca. Jednom kada bi se kradeni novac pretvorio u kazino žetone, prekockao preko stolova i vratio u gotovinu, istražitelji ne bi mogli da mu uđu u trag.

Istražitelji veruju da je deo ukradenog novca završio u Makauu u Kini pre nego što je došao u Severnoj Koreji. Bangladeš i dalje pokušava da povrati ostatak ukradenog novca oko 65 miliona dolara.

Napad na Soni Pikčers

Sajber napad na jednu od najvećih kompanija za zabavu – Soni Pikčers Entertejment u Los Anđelesu u Kalifoniji, takođe je bio glavna vest skoro svih svetskih medija.

Ta kompanija je 2013. godine najavila snimanje filma čija će radnja biti smeštena u Severnoj Koreji. Država je zapretila kompaniji odmazdom ako objavi film, a u novembru je šefovima kompanije stigao mejl u u kojem im je prećeno da im biti naneta „velika šteta“.

Plate rukovodilaca, poverljivi interni mejlovi i detajli još neobjavljenih filmova su procurili na mrežu, a aktivnosti kompanije su zaustavljene jer su joj hakeri virusima onemogućili pristup računarima. Osoblje nije moglo da provlači propusnice da bi ušli u kancelarije. Punih šest nedelja kafić u sklopu kompanije nije mogao da koristi kreditne kartice.

Film o Severnoj Koreji je pušten digitalno, i u nekim nezavisnim bioskompima jer su lanci bioskopa rekli da ga neće prikazivati. Ali ispostavilo se da je napad na Soni bio suv pokušaj još ambicioniznijeg hakovanja – pljačke banke u Bangladešu 2016. godine.

Napadi tokom 2020. godine

Tokom godine pandemije 2020. godine ova grupa je izvodila sajber napade na farmaceutske kompanije. Oni su se predstavljali kao zdravstveni radnici i kontaktirali su zaposlene u ovim kompanijama.

Mete višestrukih napada bila su brojne organizacije, a jedna od njih je i AstraZeneka. Na meti su bili zaposleni, uključujući i one koji su radili na razvoju vakcina protiv koronavirusa. Nepoznato je šta je cilj Lazarus grupe bio u ovom slučaju, ali mnogi ističu da je to bila krađa podataka radi prodaje, šema iznude, omogućavanje pristupa istraživanjima protiv korone. AstraZeneka nije komentarisala ovaj slučaj.

Izvor: nova.rs