Что такое Lazarus Group и когда она возникла?
Lazarus Group — наиболее распространенное в прессе обозначение группировки хакеров, руководство которой, вероятно, осуществляется из КНДР. Это название неофициальное, в различных документах можно встретить другие наименования.
Так, в докладах Агентства по кибербезопасности и защите инфраструктуры США группировка фигурирует как Hidden Cobra, в отчетах Microsoft — ZINC и Diamond Sleet, сами же хакеры предпочитают «героические» псевдонимы вроде Guardians of Peace.
Информация о Lazarus Group крайне скудна, численность и состав организации неизвестны. Ее лидером американские правоохранители считают гражданина КНДР Пак Чин Хека. Сотрудники ФБР установили, что он по меньшей мере восемь лет прожил в Китае, где занимался разработкой программного обеспечения. Из перехваченных писем следует, что в 2011 году Пак сообщил властям Северной Кореи о желании вернуться на родину по личным мотивам.
«Пак Чин Хек — предположительно спонсируемый государством северокорейский программист, участник предполагаемого преступного сговора, ответственный за одни из самых дорогостоящих компьютерных взломов в истории. Его атаки нанесли ущерб компьютерным системам и привели к хищению средств и виртуальных валют у множества жертв. Предполагается, что Пак участвовал в масштабном преступном сговоре, осуществленном группой хакеров, связанной с Разведывательным управлением Генштаба КНДР. В состав группы входили северокорейские хакерские организации, которые некоторые частные компании в сфере кибербезопасности обозначают как Lazarus Group и Advanced Persistent Threat 38 (APT38)», — говорится в карточке Пака на сайте ФБР.
Объявление о розыске Пак Джин Хек. Данные: ФБР.
По данным южнокорейских СМИ, государственная программа, частью которой стала Lazarus Group, запущена не позднее июня 2009 года. В это время зафиксированы первые крупные атаки, источником которых посчитали КНДР. Целью злоумышленников стали правительственные ресурсы, включая официальный сайт Синего дома.
Долгое время главной мишенью Lazarus Group оставалась южнокорейская информационная инфраструктура. Однако с годами деятельность группировки начала стремительно выходить за пределы длящегося с 1950 года регионального конфликта между Пхеньяном и Сеулом.
За какими крупными атаками стоит группировка?
Акцией, принесшей Lazarus Group мировую известность, стала осуществленная в ноябре 2014 года атака на компьютерные системы кинокомпании Sony Pictures Entertainment. Злоумышленники временно парализовали работу студии. Ее сотрудники не могли воспользоваться рабочими компьютерами, на которых появился «экран смерти» с изображением скелета и «предупреждением» от Guardians of Peace.
В течение нескольких дней компания не могла проводить финансовые операции, из-за чего производство кинопродукции было приостановлено. Злоумышленники выложили в открытый доступ персональные данные семи тысяч сотрудников Sony Pictures, включая информацию о доходах, личную переписку и пароли к соцсетям. Кроме того, в интернете появились копии пяти фильмов компании, два из которых на тот момент еще не вышли в прокат.
Сообщение с угрозами, разосланное сотрудникам Sony Pictures. Данные: Business Insider.
Западная пресса считает, что атака носила политический характер, и связывает ее со съемками сатирического фильма Сета Рогена «Интервью», главным антигероем и объектом насмешек в котором стал северокорейский лидер Ким Чен Ын.
В феврале 2016 года атаке подвергся ЦБ Бангладеш. Lazarus Group использовала уязвимость в системе SWIFT, чтобы осуществить переводы на сумму порядка $1 млрд с государственного счета южноазиатской республики в Федеральном резервном банке Нью-Йорка. Пока сотрудники службы безопасности последнего не обнаружили и не пресекли подозрительную активность, преступникам удалось вывести $81 млн.
Вскоре участники Lazarus Group начали демонстрировать еще большую изобретательность и техническую осведомленность. Уже в мае 2017 года они атаковали сотни тысяч компьютеров по всему миру, используя вирус-вымогатель WannaCry. Вредоносная программа поражала устройства, работающие на операционной системе Windows, и требовала выкуп в биткоинах на сумму $300.
Из-за атаки пострадали не только отдельные граждане: в некоторых странах Европы была парализована работа медицинских учреждений, остановилось производство на французском автозаводе Renault и японском Nissan. Создать настолько опасный вирус хакерам удалось, предварительно украв разработки АНБ.
Какой ущерб Lazarus Group причинила криптоиндустрии?
С распространением цифровых активов северокорейские хакеры обратили свое внимание на этот сегмент финансов. Только за 2017 и 2018 годы они взломали 14 криптобирж и обменников, присвоив в общей сложности активы на сумму $882 млн. Одновременно Lazarus Group научилась атаковать не только целые площадки, но и отдельных пользователей.
Весной 2022 года хакеры взломали сайдчейн Ronin, украв у пользователей игры Axie Infinity криптоактивы на сумму около $620 млн. Летом того же года Lazarus Group атаковала кроссчейн-мост Horizon протокола Harmony и децентрализованный кошелек Atomic Wallet. Суммарный ущерб от двух атак оценивается в $135 млн.
Аналитики Recorded Future подсчитали, что только за 2023 год северокорейские киберпреступники похитили $1,7 млрд в цифровых активах, и эти цифры продолжают стабильно расти.
Наконец, 21 февраля 2025 года произошел крупнейший на данный момент взлом в истории криптоиндустрии, целью которой стала биржа Bybit. Хакеры получили доступ к одному из холодных кошельков платформы, с которого вывели Ethereum на сумму ~$1,4 млрд. Вскоре ончейн-аналитик ZachXBT «предоставил неопровержимые доказательства» причастности к инциденту Lazarus Group.
Не менее серьезную проблему представляют репутационные потери, которые приносят криптоиндустрии действия подобных группировок.
Так, власти США использовали активность Lazarus Group как повод для введения санкций против миксеров Tornado Cash, Blende и Sinbad, которые, как утверждается, хакеры использовали для отмывания похищенных средств. Впрочем, подобные ограничения не мешают злоумышленникам оперативно находить альтернативные маршруты для вывода средств.
Случай Bybit также подрывает доверие к централизованным биржам. Хакерам, к какой бы структуре они ни принадлежали, удалось продемонстрировать способность успешно атаковать не только локальные обменники и небольшие проекты, но и топовые платформы с «зеленым» скорингом безопасности.
Lazarus Group правда связана с руководством КНДР?
В этом нет никаких сомнений. Учитывая крайне репрессивный характер северокорейского режима, невозможно представить, чтобы настолько сложные операции могли осуществляться без участия государства.
Доступ к интернету в КНДР ограничен, им могут свободно пользоваться лишь привилегированные граждане: члены правящей династии Кимов и их окружение, а также руководители и сотрудники предприятий, имеющих стратегическое значение. Остальным же приходится довольствоваться изолированной сетью «Кванмен», содержащую только одобренную цензурой информацию.
Как считают спецслужбы, главным центром северокорейской киберпреступности является «Лаборатория 110» — военный институт, напрямую подчиняющийся Госсовету во главе с Ким Чен Ыном. Однако Северной Корее явно не хватает собственных мощностей на реализацию программы. Как утверждает российский кореевед Андрей Ланьков, «ударные» группы северокорейских хакеров базируются за пределами КНДР:
«У них есть несколько довольно хороших центров по подготовке. Технически у них хороший уровень. Кстати, эти центры физически находятся не в Корее. Очень долго один из крупнейших центров находился в гостинице в [китайском] городе Шэньяне, где они [хакеры] жили, выходя в город только под надзором особиста. [...] Я полагаю, и сейчас такие базы продолжают существовать в разных странах мира — в основном в Восточной и Юго-Восточной Азии».
Эту версию подтверждают и доклады ФБР, указывающие на присутствие участников Lazarus Group как минимум в Китае, и многочисленные заявления южнокорейских правоохранителей.
Похищенные средства идут на ядерную программу?
Это вполне вероятно, однако прямых доказательств нет.
КНДР — единственное государство, которое принципиально отказывается сотрудничать с МАГАТЭ: еще в 2008 году Пхеньян официально уведомил о том, «больше не нуждается в услугах Агентства по осуществлению наблюдения» на объектах атомной энергетики. Поэтому невозможно не только установить источники финансирования этого сектора, но даже достоверно определить актуальное состояние ядерной программы Пхеньяна.
Тем не менее в прессе регулярно появляются сообщения о том, что северокорейские киберпреступники заняты именно поиском средств на разработку оружия массового поражения.
В феврале 2024 года агентство Reuters опубликовало выдержки из конфиденциального доклада Комитета ООН по санкциям.
В документе утверждается, что северокорейский хакеров подозревают как минимум в 58 атаках, в ходе которых на момент публикации было похищено порядка $3 млрд. Аналогичные цифры приводят авторы доклада Microsoft о кибербезопасности за 2024 год.
Для сравнения: по оценкам ICAN, в 2020 году Пхеньян потратил на ядерную программу $667 млн. Как бы то ни было, отмывание и последующая конвертация украденных средств в фиат требуют массу времени и других ресурсов, а фундаментальный для внутренней политики КНДР принцип сонгун исключает зависимость от дополнительного (и крайне рискованного) поиска денег на нужды армии.
Вероятно, куда большую тревогу должно вызывать не то, как Lazarus Group расходует похищенные средства, а не связанная с финансами деятельность группировки. Как указывают аналитики Bitdefender Labs, члены организации прицельно атакуют служащих ядерной, авиационной и других чувствительных отраслей, стремясь заполучить секретную информацию и доступ к корпоративным учетным записям.
Судя по всему, в этих операциях хакеры не делают исключений даже для формальных союзников северокорейского государства. По информации Reuters, в конце 2021 года Lazarus Group взломала компьютерные сети расположенного в подмосковном Реутове «НПО машиностроения».
Несанкционированное проникновение было обнаружено и прекращено сотрудниками предприятия только в мае 2022 года. По мнению журналистов агентства, хакеры собирали сведения, необходимые для производства межконтинентальной баллистической ракеты.
Lazarus Group — единственная в своем роде?
На самом деле даже о самой Lazarus Group нельзя говорить как о некой единой структуре. По всей видимости, она состоит из множества подразделений, отвечающих за разные цели и типы атак. Параллельно с ней в той же КНДР действуют группировки Kimsuky и Ricochet Chollima, занятые промышленным шпионажем и дестабилизацией работы энергосетей Южной Кореи.
В общепринятой классификации группировки подобные Lazarus Group относят к типу APT. Аналогичные структуры существуют во многих государствах с недемократическими режимами: Китае (Red Apollo, Double Dragon, Numbered Panda и многие другие), Иране (Charming Kitten, Helix Kitten, Elfin Team), России (Cozy Bear, Fancy Bear, Primitive Bear и другие), Саудовской Аравии (OurMine).
Однако резко отрицательный образ КНДР как «последнего тоталитарного режима» и принципиальный отказ Пхеньяна от любых форм дипломатического диалога и международного сотрудничества делают Lazarus Group своеобразным символом «абсолютного зла». Из подобного отношения неизбежно вытекают не только обоснованные обвинения в адрес киберпреступников как агентов государственного терроризма, но и всевозможные манипуляции, призванные в том числе дискредитировать криптоиндустрию.
