Принадлежность хакеров Lazarus к КНДР может считаться доказанной

Российская компания Group-IB опубликовала подробный отчет «Lazarus: архитектура, инструменты, атрибуция», в котором полностью подтвердила догадки, ранее высказывавшиеся многими специалистами по кибербезопасности: хакерская группировка Lazarus осуществляет свои действия с территории КНДР. Атаки хакеров, вероятнее всего, координирует одно из подразделений Разведывательного управления Генерального штаба Корейской народной армии.

Группировка Lazarus впервые заявила о себе в 2009 году DDoS-атаками и кибершпионскими операциями в отношении военных и правительственных ресурсов Южной Кореи. Ее самыми громкими акциями считаются атака на Sony Pictures Entertainment в 2014 году и попытка похищения сотен миллионов долларов со счетов Центрального банка Бангладеш в 2016. Ряд специалистов также высказывают мнение, что именно хакеры Lazarus стоят и за недавними атаками зловреда WannaCry.

Попытки детально изучить деятельность группировки предпринимались многими компаниями и ранее. Но, как правило, они был сосредоточены на анализе хакерских инструментов Lazarus. Экспертам Group-IB удалось детально проанализировать инфраструктуру группировки, вплоть до выявления IP-адресов и установления района в Пхеньяне, откуда, вероятнее всего, и осуществлялись атаки. В отчете также отмечается, что с прошлого года участники Lazarus принимают активные меры к тому, чтобы замаскироваться под «русских хакеров» – в частности, включая в коды инструментов строки на русском языке. Однако допускаемые при этом ошибки сводят на нет эффект такой маскировки.