С начала 2016 года северокорейские хакеры пытались выдать себя за русских. Эксперты Group-IB опубликовали отчет «Lazarus: архитектура, инструменты, атрибуция», где представили ранее неизвестные подробности об атаках хакерской группировки Lazarus, доказывающие ее связь с правительством КНДР. Согласно отчету, раньше Lazarus занималась кибершпионажем против госучреждений и частных компаний США и Южной Кореи, но теперь группировка атакует финорганизации по всему миру. В частности, именно она подозревается в масштабных атаках на Центробанк Бангладеш в 2016 году и на Sony Entertainment в 2014 году. В феврале нынешнего года Lazarus осуществила атаки на ряд банков в Польше. Кроме того, под прицелом хакеров оказались сотни финансовых организаций в 30 странах мира. Киберпреступников интересовали сотрудники центральных банков таких стран, как Россия, Венесуэла, Бразилия, Чили и пр. Как пояснил основатель Group-IB Дмитрий Волков, по результатам расследования экспертам компании удалось доказать причастность группы Lazarus к КНДР. На основе анализа использовавшихся для атак IP-адресов исследователи обнаружили точное местоположение хакеров. «Мы смогли выявить и изучить всю инфраструктуру управления, используемую Lazarus. Наше расследование показало, как хакеры проникали в сеть банков, какие вредоносные программы использовались, кого еще собирались атаковать», – отметил Волков. Как выяснилось в ходе расследования, подключение к самому последнему, третьему уровню серверов управления происходило с северокорейских IP-адресов 210.52.109.22 и 175.45.178.222. Второй̆ IP-адрес относится к району Potonggang в Пхеньяне – там располагаются Национальная комиссия КНДР по обороне и недостроенный многоэтажный отель Ryugyong Hotel. Данное здание предположительно является резиденцией правительственных хакеров. По словам исследователей, с начала прошлого года Lazarus пыталась замаскироваться под «русских хакеров». В частности, киберпреступники добавили в отладочный модуль строки на русском языке для описания команд. Преступники ошиблись и назвали команду «отправить на C&C сетевой адрес текущего сервера» словом «poluchit», однако им все же удалось ввести в заблуждение некоторых ИБ-экспертов, приписавших атаки на банки русским. Lazarus (второе название Dark Seoul Gang) – северокорейская хакерская группировка, за которой, предположительно, стоит подразделение Разведывательного Управления Генштаба КНА Bureau 121, занимающееся проведением операций в киберпространстве.
