Lazarus APT
Die Lazarus-Gruppe, auch bekannt unter dem Namen Whois Team oder Guardians of Peace, ist eine Gruppe von Cyberkriminellen, die sich aus einer unbestimmten Anzahl von Personen zusammensetzt. Sie waren ursprünglich eine Gruppe von Kriminellen, wurden jedoch aufgrund ihrer beabsichtigten Art, Methoden und Bedrohung im Internet als Advanced Persistent Threat eingestuft. Die Cybersecurity-Community hat sie unter anderen Namen wie Zink und HIDDEN COBRA .
Der früheste Fall eines Lazarus APT-Angriffs war die „Operation Troy", die zwischen 2009 und 2012 stattfand. Die Kampagne konzentrierte sich auf einen verteilten Denial-of-Service-Angriff (DDoS), bei dem auf die südkoreanische Regierung in Seoul geschossen wurde. Sie waren für Angriffe in den Jahren 2011 und 2013 verantwortlich, möglicherweise auch für einen Angriff gegen Südkorea im Jahr 2007. Es wurde festgestellt, dass sie an dem Angriff auf Sony Pictures im Jahr 2014 beteiligt waren und eine wachsende Raffinesse und Geschicklichkeit in ihren Methoden zeigten.
Die Lazarus APT war auch am Diebstahl von 12 Millionen US-Dollar von der Banco del Austro in Ecuador und von 1 Million US-Dollar von der Tien Phong Bank in Vietnam beteiligt. Die Gruppe zielte auch auf Banken in Mexiko und Polen, Bangladesch und Taiwan ab.
Es ist nicht bekannt, wer hinter der Gruppe steht, aber ihre Wahl der Ziele ließ die Sicherheitsgemeinschaft vermuten, dass sie wahrscheinlich nordkoreanischen Ursprungs waren. Die Lazarus APT konzentrierte sich auf Spionage- und Infiltrationsangriffe, während sich eine andere Gruppe innerhalb ihrer Organisation auf finanzielle Cyberangriffe konzentrierte. Zwischen diesem Teil der Organisation und Nordkorea wurde eine direkte, wiederholte IP-Adressverbindung hergestellt, obwohl einige Forscher der Ansicht waren, dass dies eine irreführende Taktik sein könnte, um Untersuchungen vom Kurs abzukommen.
Es wird angenommen, dass die Lazarus APT zwei Einheiten innerhalb der Organisationsstruktur hat:
BlueNorOff
Dies ist der finanzielle Arm der Gruppe, die für illegale Geldtransfers verantwortlich ist, meist durch Fälschung von Bestellungen von Swift. Sie wurden auch von anderen Cybersicherheitsunternehmen und -organisationen als APT38 und Stardust Chollima bezeichnet.
AndAriel
AndAriel ist bekannt für Angriffe auf südkoreanische Ziele und wird aufgrund seiner geheimnisvolleren und unauffälligeren Natur im Vergleich zu seinem Gegenstück zur Cyberkriminalität im Bankgeschäft auch als Silent Chollima bezeichnet. Organisationen in Südkorea wurden häufig in der Geschichte der Lazarus APT ins Visier genommen, wobei Verteidigungs-, Regierungs- und Wirtschaftsziele im Vordergrund standen.
