Поддержать проект Telegram
Главная / Хакерские группы / Lazarus

Lazarus

Guardians of Peace, Whois Team, HIDDEN COBRA, ZINC, Dark Seoul, Group 77, Office 91, Red Dot, Temp.Hermit, Nickel Academy, Labyrinth Chollima, Bureau 121, Unit 121, APT38, Andariel, Bluenoroff

Активны Страна: Северная Корея

Общее описание

Это не просто банда хакеров. Это фактически государственная армия Северной Кореи в мире интернета. Работают официально: в составе Reconnaissance General Bureau (RGB) — главной разведки КНДР. На слуху с 2009 года, но если верить слухам — тренироваться начали ещё раньше.

 

Основная информация

Первое появление:
в 2009 году
Страна происхождения:
Северная Корея
Альтернативные имена:
Guardians of Peace, Whois Team, HIDDEN COBRA, ZINC, Dark Seoul, Group 77, Office 91, Red Dot, Temp.Hermit, Nickel Academy, Labyrinth Chollima, Bureau 121, Unit 121, APT38, Andariel, Bluenoroff
ОС для атак:

Microsoft Windows, macOS (OS X), Linux, Android, iOS, встраиваемые и специализированные ОС

Технические детали

Используемые инструменты:

  • Фишинг и социальная инженерия: Любимая классика. Фальшивые письма “от HR”, заманчивые вакансии на LinkedIn, поддельные страницы входа в Microsoft 365. Цель одна — выманить логины и пароли, а заодно подсунуть вредоноса в систему.
  • Эксплойты нулевого дня: Когда выходит новый баг в Windows, браузерах — Lazarus уже там. Бьют туда, где ещё нет патчей. Профессионально и быстро.
  • Вредоносы под заказ: От кейлоггеров до RAT’ов, от фуллшных троянов до малвари без файлов (fileless malware), которая живёт только в памяти устройства.
  • Атаки на цепочки поставок (supply chain): Внедряют вредонос прямо в апдейты легального софта. Часто атакуют корпоративные VPN и софт для компаний Южной Кореи.
  • Злоупотребление легальными сервисами: Вместо своих серверов — Google Drive, Dropbox, GitHub. Чтобы команды шли через белые каналы, которые никто не блокирует.
  • Мастерство отмывания крипты: Через миксеры, кросс-чейн-перекиды и DeFi, превращает грязные токены в чистые монеты. Поймать цепочку почти невозможно.

Связь и аффилиация

Reconnaissance General Bureau (RGB) - главное разведывательное управление КНДР.

Но внутри самого Lazarus всё ещё веселее. Это не одна команда, а целая сеть подразделений:

  • BlueNorOff (APT38) — Отвечают за деньги. Взламывают банки, криптобиржи, DeFi-сервисы. И делают это настолько системно, что успели украсть миллиарды.
  • Andariel — Специализируются на Южной Кореи. Взломы компаний, разведка инфраструктуры, тестирование защитных систем.
  • Hidden Cobra — Название, под которым Lazarus чаще всего фигурирует в отчётах США и антивирусных компаний. Типа “официальное кодовое имя”.
  • ZINC, Guardians of Peace, Whois Team — Альтернативные вывески для разных операций, чтобы ещё сильнее путать следы.

А сверху всей этой конструкции сидят такие подразделения как Lab 110, Bureau 121, Unit 180 — внутренние отделы RGB, которые координируют, обучают и направляют Lazarus-операторов.

Цели

  • Финансовые учреждения и криптовалютные биржи
  • Оборонная промышленность и военные организации
  • ИТ-компании, телекоммуникации и разработчики ПО
  • Исследовательские организации и специалисты по кибербезопасности
  • Государственные учреждения и СМИ
  • Промышленные и энергетические компании

Особенности

  • Lazarus официально признан угрозой мирового масштаба.
  • На них наложены санкции США, ООН и ещё доброй половины цивилизованного мира.
  • Их атаки показали: даже страны под санкциями могут бить по критической инфраструктуре так, что мало не покажется.

Атакуемые страны

Южная Корея Южная Корея
США США
Япония Япония
Вьетнам Вьетнам
Индия Индия
Китай Китай
Индонезия Индонезия
Иран Иран
Ирак Ирак
Малайзия Малайзия
Мексика Мексика
Польша Польша
Россия Россия
Саудовская Аравия Саудовская Аравия
Тайвань Тайвань
Таиланд Таиланд
Турция Турция
Бразилия Бразилия
Франция Франция
Италия Италия
Испания Испания
Германия Германия
Нидерланды Нидерланды
Польша Польша
Украина Украина
Катар Катар
США США
Вьетнам Вьетнам

Известные атаки

  • Sony Pictures (2014): публикация слитых писем, уничтожение серверов.
  • WannaCry (2017): шифровальщик, парализовавший больницы, корпорации и транспорт в 150 странах.
  • Axie Infinity (2022): взлом Ronin Bridge, $620 млн в крипте испарились.
  • Harmony Horizon (2022): ещё $100 млн.
  • Atomic Wallet (2023): украдено более $100 млн.
  • Stake.com (2023): $41 млн улетело в Пхеньян.
  • Bybit (2025): крупнейший взлом биржи, $1,5 млрд, о которых предпочитают не вспоминать.

Атакуемые отрасли

  • Финансовый сектор
  • ИТ и разработка программного обеспечения
  • Производство полупроводников и электроники
  • Телекоммуникации
  • Оборонная промышленность
  • Атомная и энергетическая промышленность
  • Научные и исследовательские организации
  • Медиа и новостные сайты

Связанные статьи

Зачем беспокоиться о безопасности?
Кибершпионаж: как тебя могут читать, пока ты спишь

Отчеты и исследования