Conform guvernului SUA, Gruparea Lazarus (cunoscută și ca APT38, Hidden Cobra, Bluenoroff sau BeagleBoyz) are un rol principal în efortul sistematic al guvernului nord-coreean de a strânge bani în mod ilegal prin furtul cibernetic sponsorizat de stat. Se crede că regimul de la Phenian, ca urmare a sancțiunilor internaționale, folosește veniturile pentru a finanța programul său de rachete balistice, pe care SUA l-a descris ca reprezentând o amenințare pentru regiune.
Instituțiile de aplicare a legii din SUA au acuzat (https://us-cert.cisa.gov/ncas/alerts/aa20-106a) în mod oficial Coreea de Nord că finanțează hackeri, dezvoltatori de software, criptologi pentru operațiuni de spionaj și furturi de bani de la instituțiile financiare, platforme de tranzacționare criptomonede și organizații private.
O nouă avertizare a guvernului SUA (https://us-cert.cisa.gov/ncas/alerts/aa20-239a) din 26.08.2020, cu privire la noi atacuri care vizează băncile din mai multe țări, a concentrat atenția asupra a ceea ce a fost un an deosebit de aglomerat pentru gruparea APT Lazarus.
În ultimele luni, gruparea și-a intensificat eforturile de a strânge bani pentru guvernul nord-coreean prin numeroase campanii care vizează organizații din domeniul criptomonedelor și sectorul financiar. O tactică, oarecum rară până acum, folosită de grupare a fost reprezentată de lansarea de atacuri de tip “ransomware” prin fișiere VHD (virtual hard drive). Campaniile recente au implicat noi tactici și instrumente, inclusiv o aplicație malware multiplatformă, denumită MATA, ce permite lansarea de agresiuni cibernetice împotriva sistemelor de operare Windows, Linux și MacOS.
Potrivit avertizării emise de CISA (Cybersecurity and Infrastructure Security Agency), gruparea a vizat instituții bancare din mai multe țări prin atacuri de tip ”cash-out” asupra bancomatelor și prin inițierea de transferuri internaționale frauduloase de bani.
Noua rundă de atacuri a început în februarie 2020 și a implicat compromiterea de la distanță a serverelor de comutare a plăților și apoi utilizarea acestora pentru retragerea frauduloasă de bani de la bancomate.
Într-un atac similar din 2017, gruparea Lazarus a permis retragerea simultană a banilor de la bancomatele unei instituții bancare din peste 30 de țări.
Conform CISA, o preocupare majoră pentru bănci este faptul că atacurile grupării Lazarus au condus uneori la inoperabilitatea sistemelor bancare pentru perioade lungi de timp.
Un exemplu în acest sens a indicat un atac din 2018 asupra unei instituții bancare din Africa care a afectat bancomatele și POS-urile pentru aproape două luni. Într-un alt atac din 2018 asupra unei bănci din Chile, gruparea a utilizat aplicații malware care au formatat hard disk-urile sistemelor informatice, pentru a-și ascunde urmele, făcând inaccesibile datele existente pe mii de calculatoare și servere din rețeaua instituției.
De asemenea, exploatarea sistemelor bancare critice de către Coreea de Nord poate diminua încrederea în aceste sisteme și prezintă riscuri pentru instituțiile financiare din întreaga lume.
CISA a identificat că atacurile au vizat instituții financiare de pe toate continentele, din țări ca Bulgaria, Spania, Turcia, Argentina, Brazilia, Japonia, India, Mexic, Filipine, Singapore și Coreea de Sud.
Recomandările CISA cuprind o descriere amănunțită a programelor malware, tehnicilor și tacticilor folosite de grupare pentru obținerea accesului la sistemele informatice ale instituțiilor financiare, menținerea persistenței, escaladarea privilegiilor, evitarea detecţiei și ascunderea urmelor.