ラザルスグループ

朝鮮民主主義人民共和国のハッカー集団

ラザルスグループ(Lazarus Group、HIDDEN COBRAとしても知られる)[1] は未知数の個人で構成されたサイバー犯罪グループ。ラザルスグループに関してはあまり知られてはいないが

ラザルスグループ
나사로 그룹
設立 2009年頃[1]
種類 APT
目的 サイバースパイサイバー戦争
貢献地域 朝鮮民主主義人民共和国の旗 朝鮮民主主義人民共和国 平壌直轄市 普通江区域
組織的方法 ゼロデイ攻撃スピアフィッシングマルウェア偽情報, バックドアDropper
公用語 朝鮮語
 上部組織 朝鮮人民軍偵察総局
朝鮮コンピューターセンター
加盟 121局180局、Ariel
かつての呼び名
APT38
Gods Apostles
Gods Disciples
Guardians of Peace
ZINC
Whois Team
Hidden Cobra
テンプレートを表示

、研究者達[誰?]は過去10年間の多くのサイバー攻撃は彼らが原因だとしている。

歴史

編集

2009年から2012年にわたって行われた「トロイ作戦(Operation Troy)」が彼らのもっとも初期の攻撃として知られている[誰によって?]。これはソウルの韓国政府をターゲットとする単純な分散型サービス拒否攻撃(DDoS)技術を用いたサイバースパイ作戦だった。2011年と2013年の攻撃も彼らが原因であるとされている。韓国を標的にした2007年の攻撃の背後にいる可能性があるが、不確実のままである[2] 。ラザルスが行ったとされる著名な攻撃としては2014年のソニー・ピクチャーズへの攻撃が知られている。ソニーへの攻撃ではより洗練されたテクニックを用いており、時間の経過とともにグループがどのように高度化したかが浮き彫りとなった。ラザルスグループはエクアドルの「Banco del Austro」から1200万ドル、2015年にベトナムの「Tien Phong Bank」から100万ドルを盗んだと報じられた[3] 。彼らはまたポーランドとメキシコの銀行を標的にした[4] 。2016年の銀行強盗[5] での8100万ドルを盗むのに成功したバングラデシュ銀行への攻撃はこのグループによるものとされた。2017年にラザルスグループは台湾の遠東国際商業銀行から6000万ドルを盗んだと報じられたが、実際の盗難額は不明であり、盗難資金の大半は回収された[4]

グループの黒幕が本当は誰なのかは明確ではないが、メディア報道ではグループが北朝鮮とつながりがあると示唆している[6] [7][4]カスペルスキーは2017年にラザルスはスパイ活動とサイバー侵入攻撃に集中する傾向がある一方で、ラザルス内の小グループ(カスペルスキーはBluenoroffと呼んでいる)は金融機関へのサイバー攻撃に特化していると報告した。カスペルスキーは世界規模の複数の攻撃とBluenoroffと北朝鮮間の直接リンク(IPアドレス)を発見した[8]

しかしながら、カスペルスキーはまた世界規模のWannaCryワームサイバー攻撃はNSAの技術もコピーしているという点を踏まえると、コードの繰り返しは捜査員をミスリードさせ、北朝鮮に攻撃の罪を着せようと意図された「偽旗」である可能性も認めている。[要出典]このランサムウェアはハッカーグループ「シャドウ・ブローカーズ(Shadow Brokers)」が2017年4月に公開した「エターナル・ブルー(EternalBlue)」として知られるNSAのハッキングツールを活用したものであった[9]シマンテックは2017年にWannaCry攻撃の背後にラザルスがいる「可能性が高い」と報告した[10]

米国のセキュリティ企業によると世界中の30万台以上のコンピュータに影響を与えたWannaCryマルウェアは中国南部、香港、台湾またはシンガポールのハッカーによって作成された可能性が高いとされた[11] 。マイクロソフト社長はWannaCry攻撃は北朝鮮によるものとした[12]

2023年8月、ロイター通信は北朝鮮のハッカー集団「ラザルス」と「スカークラフト」が2021年後半ごろからロシアのロケット設計企業NPOマシノストロイェニヤのシステムにバックドアをインストールしており、2022年5月に検知されるまでその状況が続いていたと報じ、友好国も標的にすることが示されたとする専門家の指摘も伝えている[13]

主なサイバー攻撃

編集

ブロックバスター作戦

編集

Novettaを中心とした複数のセキュリティ企業[14][15] が、ラザルスグループのものとされるマルウェアの検体を分析することで犯行に用いられた手法を文書化した。これによって複数の攻撃で共通したコードが発見された[16]

火炎作戦

編集

ラザルスグループが原因の可能性がある最も早期の攻撃が2007年に起こった。この攻撃は「火炎作戦(Operation Flame)」と名付けられ、韓国政府に対して第一世代のマルウェアを用いていた。一部研究者}}[誰?]によれば、この攻撃に存在する活動は、「Operation 1Mission」「トロイ作戦」および2013年のDarkSeoul攻撃などの後の攻撃と関連付けることができるとされた。次の事件は2009年7月4日起こり、「トロイ作戦」の始まりを引き起こした。この攻撃では、MydoomとDozerのマルウェアを利用して、米国と韓国のウェブサイトに対する大規模ではあるが、かなり単純なDDoS攻撃を開始した。大量の攻撃が約3ダースのウェブサイトに行われ、マスターブートレコード(MBR)に「独立記念日の記憶(Memory of Independence Day)」の文章が埋め込まれた

10日間の雨

編集

2011年3月には韓国のメディア、金融、インフラを標的にしたDDoS攻撃が行われた。DarkSeoulによる攻撃は、韓国の3つの放送局、金融機関、ISPを標的にし2013年3月20日まで続いた[17]。当初「NewRomanic Cyber Army Team」と「WhoIs Team」の2つの組織が犯行声明を発表したが、現在[いつ?]においては研究者達[誰?]はラザルスグループに関わるものだとした。

ソニー侵害

編集

2014年11月24日に「平和の守護者(Guardians of Peace、GOP)」と名乗る集団がソニー・ピクチャーズの社内向け資料や社員の個人情報を流出させた(出典)

暗号通貨攻撃

編集

Recorded Future社が2018年、主に韓国のビットコインモネロの利用者に対する攻撃を同グループへ関連付けることができると報告した[18] 。これらはWannaCryによる被害やソニー・ピクチャーズの侵害に類似しており、韓国のワープロソフト「ハンコム」に存在した[いつ?]ハングルにまつわる脆弱性も悪用された[19]。また韓国の学生やCoinlinkの利用者にスピアフィッシングを仕掛ける[20]など、同報告書で「この2017年後半の作戦は現在マイニング、ランサムウェア、明白な窃盗を含む幅広い分野の活動を網羅する暗号通貨への北朝鮮の関心の継続」と結論付けられた活動も見られる。同報告書はまた、これらは国際的な金融制裁への対処だと述べた[21]

他の戦術としてはマルウェアを含んだスピアフィッシングの餌が韓国の学生やCoinlinkのような暗号通貨取引所のユーザーに送付された。仮にユーザーがマルウェアを開いた場合、Eメールアドレスとパスワードを盗まれるようになっていた[20] 。Coinlinkは彼らのサイトまたはハッキングされたユーザーのEメールとパスワードを拒否した報告書では北朝鮮のハッカーは2017年2月に韓国の取引所「Bithumb」から700万ドルを盗んだ[22] 。別の韓国のビットコイン取引所「Youbit」は2017年4月の初期の攻撃に続く2017年12月のサイバー攻撃で資産の17%を盗まれた後破産を申請した[23] 。ラザルスと北朝鮮のハッカーがこの攻撃を行ったとされた[24][18]

脚注

編集
  1. ^ Guerrero-Saade, Juan Andres; Moriuchi, Priscilla (January 16, 2018). “North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign”. Recorded Future. オリジナルのJanuary 16, 2018時点におけるアーカイブ。. https://web.archive.org/web/20180116170903/https://www.recordedfuture.com/north-korea-cryptocurrency-campaign/ 
  2. ^ Security researchers say mysterious 'Lazarus Group' hacked Sony in 2014”. The Daily Dot. 2016年2月29日閲覧。
  3. ^ SWIFT attackers’ malware linked to more financial attacks”. Symantec (2016年5月26日). 2017年10月19日閲覧。
  4. ^ a b c Ashok, India (2017年10月17日). “Lazarus: North Korean hackers suspected to have stolen millions in Taiwan bank cyberheist” (英語). International Business Times UK. http://www.ibtimes.co.uk/lazarus-north-korean-hackers-suspected-have-stolen-millions-taiwan-bank-cyberheist-1643408 2017年10月19日閲覧。 
  5. ^ Two bytes to $951m”. baesystemsai.blogspot.co.uk. 2017年5月15日閲覧。
  6. ^ “Cyber attacks linked to North Korea, security experts claim” (英語). The Telegraph. (2017年5月16日). http://www.telegraph.co.uk/technology/2017/05/15/north-korea-linked-global-cyber-attack-experts-examine-ransomware/ 2017年5月16日閲覧。 
  7. ^ Solon, Olivia (2017年5月15日). “WannaCry ransomware has links to North Korea, cybersecurity experts say” (英語). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group 2017年5月16日閲覧。 
  8. ^ GReAT - Kaspersky Lab's Global Research & Analysis Team (2017年3月3日). “Lazarus Under The Hood”. Securelist. 2017年5月16日閲覧。
  9. ^ The WannaCry Ransomware Has a Link to Suspected North Korean Hackers (2017年3月3日). “The Wired”. Securelist. 2017年5月16日閲覧。
  10. ^ “More evidence for WannaCry 'link' to North Korean hackers” (英語). BBC News. (2017年5月23日). http://www.bbc.co.uk/news/technology-40010996 2017年5月23日閲覧。 
  11. ^ Linguistic analysis shows WannaCry ransom notes written by southern Chinese, says US intelligence firm (2017年5月15日). “The Straits times”. Securelist. 2017年5月16日閲覧。
  12. ^ Harley, Nicola (2017年10月14日). “North Korea behind WannaCry attack which crippled the NHS after stealing US cyber weapons, Microsoft chief claims” (英語). The Telegraph. ISSN 0307-1235. http://www.telegraph.co.uk/news/2017/10/14/north-korea-behind-wannacry-attack-crippled-nhs-stealing-us/ 2017年10月14日閲覧。 
  13. ^ 北朝鮮ハッカー、ロシア・ミサイル会社に侵入 友好国も標的」、(ロイター)、2023年8月7日付、2023年8月7日閲覧
  14. ^ Van Buskirk, Peter (2016年3月1日). “Five Reasons Why Operation Blockbuster Matters” (英語). Novetta. http://www.novetta.com/2016/03/five-reasons-why-operation-blockbuster-matters/ 2017年5月16日閲覧。 
  15. ^ "Novetta Exposes Depth of Sony Pictures Attack — Novetta". 24 February 2016. {{cite web}}: Cite webテンプレートでは|access-date=引数が必須です。 (説明)
  16. ^ Kaspersky Lab helps to disrupt the activity of the Lazarus Group responsible for multiple devastating cyber-attacks | Kaspersky Lab”. www.kaspersky.com. 2016年2月29日閲覧。
  17. ^ The Sony Hackers Were Causing Mayhem Years Before They Hit the Company” (英語). WIRED. 2016年3月1日閲覧。
  18. ^ a b Al Ali, Nour (2018年1月16日). “North Korean Hacker Group Seen Behind Crypto Attack in South”. Bloomberg.com. https://www.bloomberg.com/news/articles/2018-01-16/north-korean-hacker-group-seen-behind-crypto-attack-in-south 2018年1月17日閲覧。 
  19. ^ Kharpal, Arjun (2018年1月17日). “North Korea government-backed hackers are trying to steal cryptocurrency from South Korean users”. CNBC. https://www.cnbc.com/2018/01/17/north-korea-hackers-linked-to-cryptocurrency-cyberattack-on-south-korea.html 2018年1月17日閲覧。 
  20. ^ a b Mascarenhas, Hyacinth (2018年1月17日). “Lazarus: North Korean hackers linked to Sony hack were behind cryptocurrency attacks in South Korea” (英語). International Business Times UK. http://www.ibtimes.co.uk/lazarus-north-korean-hackers-linked-sony-hack-were-behind-cryptocurrency-attacks-south-korea-1655467 2018年1月17日閲覧。 
  21. ^ Limitone, Julia (2018年1月17日). “Bitcoin, cryptocurrencies targeted by North Korean hackers, report reveals” (英語). Fox Business. http://www.foxbusiness.com/markets/2018/01/17/bitcoin-cryptocurrencies-targeted-by-north-korean-hackers-report-reveals.html 2018年1月17日閲覧。 
  22. ^ Ashford, Warwick (2018年1月17日). “North Korean hackers tied to cryptocurrency attacks in South Korea” (英語). Computer Weekly. http://www.computerweekly.com/news/450433324/North-Korean-hackers-tied-to-cryptocurrency-attacks-in-South-Korea 2018年1月17日閲覧。 
  23. ^ “South Korean crypto exchange files for bankruptcy after hack” (英語). The Straits Times. (2017年12月20日). http://www.straitstimes.com/asia/east-asia/south-korean-crypto-exchange-files-for-bankruptcy-after-hack 2018年1月17日閲覧。 
  24. ^ Bitcoin exchanges targeted by North Korean hackers, analysts say”. MSN Money (2017年12月21日). 2018年1月17日閲覧。

ソース

編集
  • Virus News (2016). "Kaspersky Lab Helps to Disrupt the Activity of the Lazarus Group Responsible for Multiple Devastating Cyber-Attacks", Kaspersky Lab.
  • RBS (2014). "A Breakdown and Analysis of the December, 2014 Sony Hack". RiskBased Security.
  • Cameron, Dell (2016). "Security Researchers Say Mysterious 'Lazarus Group' Hacked Sony in 2014", The Daily Dot.
  • Zetter, Kim (2014). "Sony Got Hacked Hard: What We Know and Don't Know So Far", Wired.
  • Zetter, Kim (2016). "Sony Hackers Were Causing Mayhem Years Before They Hit The Company", Wired.

関連項目

編集