Lazarus Group
Tipo | Ameaça persistente avançada |
---|---|
Fundação | c. 2009 |
Propósito | Ciberespionagem, Ciberguerra |
Sede | Potonggang District, Pyongyang, Coreia do Norte |
Línguas oficiais | Coreano |
Filiação | Bureau 121, Unit 180, AndAriel |
Organização de origem | Lab 110 & Bureau 121 |
Antigo nome | APT38 Gods Apostles Gods Disciples Guardians of Peace ZINC Whois Team Hidden Cobra |
O Grupo Lazarus (também conhecido como Guardians of Peace ou Whois Team[1][2][3]) é um grupo de Hackers composto por um número desconhecido de indivíduos, supostamente operado pelo governo da Coreia do Norte. Embora pouco se saiba sobre o grupo, pesquisadores já atribuíram a ele diversos ciberataques desde 2010.
Originalmente um grupo criminoso, o grupo agora foi designado como uma Ameaça persistente avançada devido à sua natureza intencional, ao risco que representa e à ampla variedade de métodos utilizados em suas operações. Os nomes atribuídos por organizações de cibersegurança incluem Hidden Cobra (utilizado pelo Departamento de Segurança Interna dos Estados Unidos para se referir à atividade cibernética maliciosa do governo norte-coreano em geral)[4][5] e ZINC ou Diamond Sleet[6] (pela Microsoft).[7][8][9] De acordo com o desertor norte-coreano Kim Kuk-song, a unidade é internamente conhecida na Coreia do Norte como 414 Liaison Office.[10]
História
[editar | editar código-fonte]O primeiro ataque conhecido pelo qual o grupo é responsável é denominado "Operação Troy", que ocorreu de 2009 a 2012. Trata-se de uma campanha de Ciberespionagem que utilizou técnicas insossificadas de ataque de negação de serviço distribuído (DDoS) para atingir o governo sul-coreano em Seul. Eles também foram responsáveis por ataques em 2011 e 2013. Embora incerto, é possível que também tenham sido os responsáveis por um ataque em 2007 contra a Coreia do Sul.[11] Um ataque notável pelo qual o grupo é conhecido é o ataque à Sony Pictures de 2014. O ataque à Sony utilizou técnicas mais sofisticadas e evidenciou o quão avançado o grupo se tornou com o tempo.

Foi relatado que o Grupo Lazarus roubou US$12 milhões do Banco del Austro, no Equador, e US$1 milhão do Tien Phong Bank do Vietnã em 2015.[12] Eles também têm como alvo bancos na Polônia e no México.[13] O assalto cibernético ao Banco de Bangladesh de 2016 incluiu um ataque ao Banco de Bangladesh, resultando no roubo de US$81 milhões, e foi atribuído ao grupo. Em 2017, foi reportado que o Grupo Lazarus havia roubado US$60 milhões do Far Eastern International Bank de Taiwan, embora o montante real roubado fosse incerto e a maior parte dos fundos tenha sido recuperada.[13]
Não está claro quem realmente está por trás do grupo, mas relatos da mídia sugeriram que o grupo tem ligações com a Coreia do Norte.[14][15][13] A Kaspersky Lab reportou, em 2017, que o Lazarus tendia a concentrar-se em ciberataques de espionagem e infiltração, enquanto um subgrupo dentro de sua organização, denominado pela Kaspersky como Bluenoroff, especializava-se em ciberataques financeiros. A Kaspersky identificou múltiplos ataques em todo o mundo e um vínculo direto (endereço IP) entre o Bluenoroff e a Coreia do Norte.[16]
No entanto, a Kaspersky também reconheceu que a repetição do código poderia ser uma "bandeira falsa" destinada a enganar os investigadores e atribuir o ataque à Coreia do Norte, considerando que o ataque cibernético global do verme WannaCry copiou técnicas da NSA. Esse ransomware explora uma vulnerabilidade da NSA conhecida como EternalBlue, que um grupo de hackers denominado Shadow Brokers tornou público em abril de 2017.[17] A Symantec reportou, em 2017, que era "altamente provável" que o Lazarus estivesse por trás do ataque WannaCry.[18]
Operação Troy (2009)
[editar | editar código-fonte]O primeiro grande incidente de hacking do Grupo Lazarus ocorreu em 4 de julho de 2009, marcando o início da "Operação Troy". Esse ataque utilizou os malwares Mydoom e Dozer para lançar um ataque DDoS de grande escala, embora bastante insossificado, contra sites dos Estados Unidos e da Coreia do Sul. A série de ataques atingiu cerca de três dezenas de sites e inseriu o texto "Memory of the Independence Day" no registro mestre de inicialização (MBR).[19]
Ciberataque à Coreia do Sul em 2013 (Operação 1Mission/ DarkSeoul)
[editar | editar código-fonte]Ver também
Com o tempo, os ataques deste grupo tornaram-se mais sofisticados; suas técnicas e ferramentas foram melhor desenvolvidas e se tornaram mais eficazes. O ataque de março de 2011, conhecido como "Dez Dias de Chuva", teve como alvo a mídia, instituições financeiras e infraestrutura crítica sul-coreana, consistindo em ataques DDoS mais sofisticados originados de computadores comprometidos na Coreia do Sul. Os ataques continuaram em 20 de março de 2013, com o DarkSeoul, um ataque do tipo wiper que teve como alvo três emissoras sul-coreanas, instituições financeiras e um provedor de internet. Na época, dois outros grupos, conhecidos pelas personas "NewRomanic Cyber Army Team" e "WhoIs Team", assumiram a autoria do ataque, mas os pesquisadores não sabiam que o Grupo Lazarus estava por trás dele na ocasião. Pesquisadores hoje reconhecem o Grupo Lazarus como um supergrupo por trás dos ataques disruptivos.[20]
Final de 2014: violação na Sony
[editar | editar código-fonte]Os ataques do Grupo Lazarus culminaram em 24 de novembro de 2014. Nesse dia, surgiu uma postagem no Reddit afirmando que a Sony Pictures havia sido hackeada por meio de métodos desconhecidos; os perpetradores se identificaram como os "Guardians of Peace". Grandes quantidades de dados foram roubadas e lentamente divulgadas nos dias seguintes ao ataque. Em uma entrevista, uma pessoa que afirmava fazer parte do grupo disse que vinha extraindo os dados da Sony há mais de um ano.[21]
Os hackers conseguiram acessar filmes inéditos, roteiros de determinados filmes, planos para produções futuras, informações sobre salários de executivos da empresa, e-mails e os dados pessoais de cerca de 4.000 funcionários.[22]
Investigação de início de 2016: Operação Blockbuster
[editar | editar código-fonte]Sob o nome "Operação Blockbuster", uma coalizão de empresas de segurança, liderada pela Novetta,[23][24] conseguiu analisar amostras de malware encontradas em diferentes incidentes de cibersegurança. Utilizando esses dados, a equipe analisou os métodos empregados pelos hackers, associando o Grupo Lazarus a vários ataques por meio de um padrão de reutilização de código.[25] Por exemplo, eles utilizaram um algoritmo de criptografia pouco conhecido disponível na internet, o algoritmo Caracachs cipher.[26]
Assalto cibernético ao Banco de Bangladesh de 2016
[editar | editar código-fonte]O assalto cibernético ao Banco de Bangladesh foi um roubo ocorrido em fevereiro de 2016. Trinta e cinco instruções fraudulentas foram emitidas por hackers por meio da rede SWIFT para transferir ilegalmente cerca de US$1 bilhão da conta do Banco de Reserva Federal de Nova York pertencente ao Banco de Bangladesh, o banco central de Bangladesh. Cinco das trinta e cinco instruções foram bem-sucedidas na transferência de US$101 milhões – com US$20 milhões rastreados para o Sri Lanka e US$81 milhões para as Filipinas – enquanto o Banco de Reserva Federal de Nova York bloqueou as trinta transações restantes, totalizando US$850 milhões, devido a suspeitas geradas por uma instrução com erro de ortografia.[27][28] Especialistas em cibersegurança afirmaram que o Grupo Lazarus, sediado na Coreia do Norte, foi o responsável pelo ataque.[29][30]
Ataque de ransomware WannaCry em maio de 2017
[editar | editar código-fonte]O ataque WannaCry foi um massivo ciberataque de ransomware que atingiu instituições em todo o mundo – desde o NHS na Grã-Bretanha, passando pela Boeing, até universidades na China – em 12 de maio de 2017. O ataque durou 7 horas e 19 minutos. A Europol estima que ele afetou quase 200.000 computadores em 150 países, atingindo principalmente a Rússia, Índia, Ucrânia e Taiwan. Este foi um dos primeiros ataques com o uso de um cryptoworm (verme criptográfico), ou seja, uma classe de malware que se propaga entre computadores utilizando redes, sem a necessidade de ação direta do usuário para a infecção – neste caso, explorando a porta TCP 445.[31] Para ser infectado, não é necessário clicar em um link malicioso – o malware pode se espalhar autonomamente, de um computador para uma impressora conectada e, daí, para computadores adjacentes, possivelmente conectados à rede Wi-Fi, etc. A vulnerabilidade na porta 445 permitiu que o malware se propagasse livremente pelas intranets, infectando milhares de computadores rapidamente. O ataque WannaCry foi um dos primeiros usos em larga escala de um cryptoworm.[32][33]
Ataque
[editar | editar código-fonte]O vírus explorou uma vulnerabilidade no sistema operacional Windows, criptografando os dados do computador em troca de um valor em Bitcoin de aproximadamente US$300 para se obter a chave. Para incentivar o pagamento, o valor do resgate dobrou após três dias e, se não fosse pago em uma semana, o malware excluía os arquivos criptografados. O malware utilizou um software legítimo chamado Windows Crypto, desenvolvido pela Microsoft para embaralhar os arquivos. Uma vez concluída a criptografia, o nome do arquivo passava a ter o sufixo "Wincry", que originou o nome WannaCry. Embora o Wincry tenha sido a base da criptografia, dois exploits adicionais – EternalBlue e DoublePulsar – foram empregados para transformar o malware em um verme criptográfico. EternalBlue espalha automaticamente o vírus pelas redes, enquanto DoublePulsar o ativa no computador da vítima. Em outras palavras, EternalBlue estabeleceu a ligação infectada com o seu computador e DoublePulsar a acionou para você.[33]
Consequências
[editar | editar código-fonte]O Departamento de Justiça dos Estados Unidos e as autoridades britânicas posteriormente atribuíram o ataque WannaCry à gangue de hackers norte-coreanos, o Grupo Lazarus.[34]
Ataques a criptomoedas em 2017
[editar | editar código-fonte]Em 2018, a Recorded Future divulgou um relatório ligando o Grupo Lazarus a ataques a usuários de criptomoedas, como Bitcoin e Monero, principalmente na Coreia do Sul.[35] Esses ataques foram relatados como tecnicamente semelhantes a ataques anteriores utilizando o ransomware WannaCry e aos ataques à Sony Pictures.[36] Uma das táticas empregadas pelos hackers do Lazarus foi explorar vulnerabilidades no Hancom's Hangul, um software de processamento de texto sul-coreano.[36] Outra estratégia consistiu no uso de iscas de spear-phishing contendo malware, enviadas a estudantes sul-coreanos e usuários de exchanges de criptomoedas, como a Coinlink. Caso o usuário abrisse o malware, este roubava endereços de e-mail e senhas.[37] A Coinlink negou que seu site ou os e-mails e senhas dos usuários tivessem sido violados.[37] O relatório concluiu que "esta campanha do final de 2017 é uma continuação do interesse da Coreia do Norte em criptomoedas, que agora sabemos abranger uma ampla gama de atividades, incluindo mineração, ransomware e roubo puro e simples..."[35] O relatório também afirmou que a Coreia do Norte estava utilizando esses ataques a criptomoedas para evitar sanções financeiras internacionais.[38]
Hackers norte-coreanos roubaram US$7 milhões da Bithumb, uma exchange sul-coreana, em fevereiro de 2017.[39] A Youbit, outra exchange de Bitcoin sul-coreana, declarou falência em dezembro de 2017 após 17% de seus ativos terem sido roubados por ciberataques, decorrentes de um ataque anterior em abril de 2017.[40] O Grupo Lazarus e hackers norte-coreanos foram responsabilizados pelos ataques.[41][35] A NiceHash – marketplace de mineração em nuvem de criptomoedas – perdeu mais de 4.500 Bitcoins em dezembro de 2017. Uma atualização sobre as investigações afirmou que o ataque está vinculado ao Grupo Lazarus.[42]
Ataques de setembro de 2019
[editar | editar código-fonte]Em meados de setembro de 2019, os EUA emitiram um alerta público sobre uma nova versão de malware denominada ElectricFish.[43] Desde o início de 2019, agentes norte-coreanos tentaram cinco grandes furtos cibernéticos em todo o mundo, incluindo um roubo bem-sucedido de US$49 milhões de uma instituição em Kuwait.[43]
Ataques a empresas farmacêuticas no final de 2020
[editar | editar código-fonte]Devido à pandemia de COVID-19 em curso, empresas farmacêuticas tornaram-se alvos principais para o Grupo Lazarus. Utilizando técnicas de spear-phishing, membros do grupo se passaram por autoridades de saúde e contataram funcionários de empresas farmacêuticas com links maliciosos. Acredita-se que múltiplas grandes organizações farmacêuticas foram visadas, mas a única confirmação foi da AstraZeneca, de propriedade anglo-sueca. Segundo um relatório da Reuters,[44] uma ampla gama de funcionários foi atingida, inclusive muitos envolvidos em pesquisas de vacinas contra a COVID-19. Não se sabe qual era o objetivo do Grupo Lazarus nesses ataques, mas as possibilidades mais prováveis incluem:
- Roubo de informações sensíveis para venda com fins lucrativos.
- Esquemas de extorsão.
- Conceder a regimes estrangeiros acesso a pesquisas proprietárias sobre a COVID-19.
A AstraZeneca não se pronunciou sobre o incidente e especialistas não acreditam que dados sensíveis tenham sido comprometidos até o momento.Predefinição:As of?
Ataques de janeiro de 2021 direcionados a pesquisadores de cibersegurança
[editar | editar código-fonte]Em janeiro de 2021, Google e Microsoft reportaram publicamente sobre um grupo de hackers norte-coreanos que direcionava ataques a pesquisadores de cibersegurança por meio de uma campanha de engenharia social, com a Microsoft especificamente atribuindo a campanha ao Grupo Lazarus.[45][46][47]
Os hackers criaram múltiplos perfis de usuário no Twitter, GitHub e LinkedIn, fingindo ser pesquisadores legítimos de vulnerabilidades de software, e usaram esses perfis para interagir com postagens e conteúdos produzidos por outros membros da comunidade de pesquisa em segurança. Em seguida, direcionavam ataques a pesquisadores específicos, entrando em contato diretamente com eles com uma oferta de colaboração em pesquisas, com o objetivo de fazê-los baixar um arquivo contendo malware ou visitar um post em um blog hospedado em um site controlado pelos hackers.[47]
Algumas vítimas que acessaram o post do blog relataram que seus computadores foram comprometidos, mesmo utilizando versões totalmente atualizadas do navegador Google Chrome, sugerindo que os hackers podem ter explorado uma vulnerabilidade zero-day anteriormente desconhecida no Chrome para o ataque;[45] contudo, o Google afirmou que não conseguiu confirmar o método exato de comprometimento no momento do relatório.[46]
Ataque de março de 2022 ao jogo online Axie Infinity
[editar | editar código-fonte]Em março de 2022, constatou-se que o Grupo Lazarus foi responsável por roubar criptomoedas no valor de US$620 milhões da Ronin Network, uma ponte utilizada pelo jogo Axie Infinity.[48] O FBI afirmou: "Através de nossas investigações, conseguimos confirmar que o Grupo Lazarus e o APT38, atores cibernéticos associados à Coreia do Norte, são responsáveis pelo roubo".[49]
Ataque à Horizon Bridge em junho de 2022
[editar | editar código-fonte]O FBI confirmou que o grupo cibernético malicioso norte-coreano Lazarus (também conhecido como APT38) foi responsável pelo roubo de US$100 milhões em moeda virtual da ponte Horizon da Harmony, conforme reportado em 24 de junho de 2022.[50]
Ataques a criptomoedas em 2023
[editar | editar código-fonte]Um relatório publicado pela plataforma de segurança blockchain Immunefi alegou que o Lazarus foi responsável por perdas superiores a US$300 milhões em incidentes de hacking de criptomoedas em 2023. Esse montante representa 17,6% do total das perdas do ano.[48]
Ataque à Atomic Wallet em junho de 2023
[editar | editar código-fonte]Em junho de 2023, mais de US$100 milhões em criptomoedas foram roubados de usuários do serviço Atomic Wallet,[51] e isso foi posteriormente confirmado pelo FBI.[52]
Hackeamento do Stake.com em setembro de 2023
[editar | editar código-fonte]Em setembro de 2023, o Federal Bureau of Investigation confirmou que um roubo de criptomoedas no valor de US$41 milhões da Stake.com, um cassino online e plataforma de apostas, foi perpetrado pelo Grupo Lazarus.[53]
Sanções dos EUA
[editar | editar código-fonte]Em 14 de abril de 2022, o Tesouro dos EUA, por meio do OFAC, incluiu o Grupo Lazarus na Lista de Nacionalizados Especialmente Designados e Pessoas Bloqueadas de acordo com a seção 510.214 dos Regulamentos de Sanções à Coreia do Norte.[54]
Hackeamentos a exchanges de criptomoedas
[editar | editar código-fonte]De acordo com reportagens da mídia indiana, uma exchange de criptomoedas local denominada WazirX foi hackeada pelo grupo, e ativos criptográficos no valor de US$234,9 milhões foram roubados.[55]
Em fevereiro de 2025, a exchange de criptomoedas sediada em Dubai, a Bybit, foi hackeada, resultando na perda de 400.000 Ethereum, avaliados em US$1,5 bilhão, tornando-se o maior hack de exchange de criptomoedas até o momento. Analistas do setor sugeriram que o Grupo Lazarus foi o responsável.[56]
Educação
[editar | editar código-fonte]Hackers norte-coreanos são enviados, de forma vocacional, para Shenyang, na China, para treinamento especial. Eles são instruídos a implantar malware de todos os tipos em computadores, redes e servidores. A educação interna inclui a Universidade de Tecnologia Kim Chaek, a Universidade Kim Il Sung e a Universidade Moranbong, que seleciona os alunos mais brilhantes de todo o país e os submete a seis anos de formação especial.[10][57] Além do nível universitário, "alguns dos programadores mais brilhantes... são enviados para a Universidade Moranbong ou para o Mirim College."[58][59]
Unidades
[editar | editar código-fonte]Acredita-se que o Lazarus possua duas unidades.[60][61]
BlueNorOff
[editar | editar código-fonte]O BlueNorOff (também conhecido como: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE[62]) é um grupo com motivação financeira, responsável por transferências ilegais de dinheiro por meio da falsificação de ordens na rede SWIFT. O BlueNorOff também é chamado de APT38 (pela Mandiant) e Stardust Chollima (pela Crowdstrike).[63][64]
De acordo com um relatório de 2020 do Exército dos EUA, o Bluenoroff conta com cerca de 1.700 membros que realizam crimes cibernéticos financeiros, concentrando-se em avaliações de longo prazo e explorando vulnerabilidades em redes e sistemas inimigos para obter ganhos financeiros para o regime ou assumir o controle do sistema.[65] Eles visam instituições financeiras e exchanges de criptomoedas, tendo realizado operações contra mais de 16 organizações em pelo menos 13 países[a] entre 2014 e 2021 – nomeadamente em Bangladesh, Chile, Índia, México, Paquistão, Filipinas, Coreia do Sul, Taiwan, Turquia e Vietnã. A receita obtida acredita-se ser direcionada ao desenvolvimento de tecnologia de mísseis e nuclear.[62][61]
AndAriel
[editar | editar código-fonte]AndAriel (também grafado Andarial,[65] e também conhecido como: Silent Chollima, Dark Seoul, Rifle e Wassonite[62]) é caracterizado logisticamente por visar a Coreia do Sul. Seu nome alternativo, Silent Chollima, deve-se à natureza furtiva do subgrupo.[66] Qualquer organização na Coreia do Sul é vulnerável ao AndAriel, que tem como alvos governos, setores de defesa e símbolos econômicos.[67][68]
De acordo com um relatório de 2020 do Exército dos EUA, o Andarial conta com cerca de 1.600 membros cuja missão é o reconhecimento, a avaliação das vulnerabilidades das redes e o mapeamento da rede inimiga para identificar potenciais alvos de ataque.[65] Além da Coreia do Sul, eles também visam outros governos, infraestruturas e empresas. Os vetores de ataque incluem: ActiveX, vulnerabilidades em softwares sul-coreanos, ataque do tipo watering hole, spear phishing, produtos de gerenciamento de TI (antivírus, PMS) e cadeia de suprimentos (instaladores e atualizadores). Os malwares utilizados incluem: Aryan, Gh0st RAT, Rifdoor, Phandoor e Andarat.[62]
Acusações
[editar | editar código-fonte]Em fevereiro de 2021, o Departamento de Justiça dos Estados Unidos acusou três membros do Reconnaissance General Bureau, uma agência de inteligência militar da Coreia do Norte, de terem participado de várias campanhas de hacking do Lazarus: Park Jin Hyok, Jon Chang Hyok e Kim Il Park. Jin Hyok já havia sido acusado anteriormente, em setembro de 2018. Os indivíduos não estão sob custódia dos EUA. Um cidadão canadense e dois cidadãos chineses também foram denunciados por atuarem como money mules e lavadores de dinheiro para o grupo Lazarus.[69][70]
Notas
[editar | editar código-fonte]Referências
- ↑ «North Korea Designations; Global Magnitsky Designation». U.S. Department of the Treasury. 2019.
LAZARUS GROUP (a.k.a. "APPLEWORM"; a.k.a. "APT-C-26"; a.k.a. "GROUP 77"; a.k.a. "GUARDIANS OF PEACE"; a.k.a. "HIDDEN COBRA"; a.k.a. "OFFICE 91"; a.k.a. "RED DOT"; a.k.a. "TEMP.HERMIT"; a.k.a. "THE NEW ROMANTIC CYBER ARMY TEAM"; a.k.a. "WHOIS HACKING TEAM"; a.k.a. "ZINC"), Potonggang District...
- ↑ «Lazarus Group | InsightIDR Documentation». Rapid7.
Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Group 77, Guardian of Peace, Guardians of Peace, Hastati Group, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomanic Cyber Army Team, NICKEL ACADEMY, Operation AppleJesus, Operation DarkSeoul, Operation GhostSecret, Operation Troy, Silent Chollima, Subgroup: Andariel, Subgroup: Bluenoroff, Unit 121, Whois Hacking Team, WHOis Team, ZINC (Microsoft)
- ↑ «NICKEL ACADEMY | Secureworks». secureworks.com.
Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (U.S. Government), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber Army Team, NNPT Group, The Lazarus Group, Who Am I?, Whois Team, ZINC (Microsoft)
- ↑ «HIDDEN COBRA – North Korea's DDoS Botnet Infrastructure | CISA». us-cert.cisa.gov. CISA. 2017
- ↑ «Lazarus Group, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Group G0032 | MITRE ATT&CK®». MITRE ATT&CK. MITRE Corporation
- ↑ «How Microsoft names threat actors». Microsoft. Consultado em 21 de janeiro de 2024
- ↑ «Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats». Microsoft on the Issues (em inglês). 19 de dezembro de 2017. Consultado em 16 de agosto de 2019
- ↑ «FBI thwarts Lazarus-linked North Korean surveillance malware». IT PRO (em inglês). 13 de maio de 2019. Consultado em 16 de agosto de 2019
- ↑ Guerrero-Saade, Juan Andres; Moriuchi, Priscilla (16 de janeiro de 2018). «North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign». Recorded Future. Arquivado do original em 16 de janeiro de 2018
- ↑ a b «Drugs, arms, and terror: A high-profile defector on Kim's North Korea». BBC News (em inglês). 10 de outubro de 2021. Consultado em 11 de outubro de 2021
- ↑ «Security researchers say mysterious 'Lazarus Group' hacked Sony in 2014». The Daily Dot. 24 de fevereiro de 2016. Consultado em 29 de fevereiro de 2016
- ↑ «SWIFT attackers' malware linked to more financial attacks». Symantec. 26 de maio de 2016. Consultado em 19 de outubro de 2017
- ↑ a b c Ashok, India (17 de outubro de 2017). «Lazarus: North Korean hackers suspected to have stolen millions in Taiwan bank cyberheist». International Business Times UK (em inglês). Consultado em 19 de outubro de 2017
- ↑ «Cyber attacks linked to North Korea, security experts claim». The Telegraph (em inglês). 16 de maio de 2017. Consultado em 16 de maio de 2017
- ↑ Solon, Olivia (15 de maio de 2017). «WannaCry ransomware has links to North Korea, cybersecurity experts say». The Guardian (em inglês). ISSN 0261-3077. Consultado em 16 de maio de 2017
- ↑ GReAT – Kaspersky Lab's Global Research & Analysis Team (3 de março de 2017). «Lazarus Under The Hood». Securelist. Consultado em 16 de maio de 2017
- ↑ The WannaCry Ransomware Has a Link to Suspected North Korean Hackers (3 de março de 2017). «The Wired». Securelist. Consultado em 16 de maio de 2017
- ↑ «More evidence for WannaCry 'link' to North Korean hackers». BBC News (em inglês). 23 de maio de 2017. Consultado em 23 de maio de 2017
- ↑ «DDOS Madness Continued... | FireEye Inc». web.archive.org. 22 de junho de 2020. Consultado em 8 de fevereiro de 2025. Arquivado do original em 22 de junho de 2020
- ↑ «The Sony Hackers Were Causing Mayhem Years Before They Hit the Company». WIRED (em inglês). Consultado em 1 de março de 2016
- ↑ «Sony Got Hacked Hard: What We Know and Don't Know So Far». WIRED (em inglês). Consultado em 1 de março de 2016
- ↑ «A Breakdown and Analysis of the December, 2014 Sony Hack». www.riskbasedsecurity.com. 5 de dezembro de 2014. Consultado em 1 de março de 2016. Arquivado do original em 4 de março de 2016
- ↑ Van Buskirk, Peter (1 de março de 2016). «Five Reasons Why Operation Blockbuster Matters». Novetta (em inglês). Consultado em 16 de maio de 2017. Arquivado do original em 7 de julho de 2017
- ↑ «Novetta Exposes Depth of Sony Pictures Attack — Novetta». 24 de fevereiro de 2016. Consultado em 19 de junho de 2016. Arquivado do original em 27 de janeiro de 2018
- ↑ «Kaspersky Lab helps to disrupt the activity of the Lazarus Group responsible for multiple devastating cyber-attacks». www.kaspersky.com. Consultado em 29 de fevereiro de 2016. Arquivado do original em 1 de setembro de 2016
- ↑ «Operation blockbuster (page 28)» (PDF). United States Naval Academy. 2018
- ↑ Schram, Jamie (22 de março de 2016). «Congresswoman wants probe of 'brazen' $81M theft from New York Fed». New York Post
- ↑ Shapiro, Scott (2023). Fancy Bear Goes Phishing: The dark history of the information age, in five extraordinary hacks 1st ed. New York: Farrar, Straus and Giroux. 316 páginas. ISBN 978-0-374-60117-1
- ↑ «Cybercriminal Lazarus group hacked Bangladesh Bank». thedailystar.net. 20 de abril de 2017. Consultado em 13 de maio de 2021
- ↑ «US charges North Korean over Bangladesh Bank hack». finextra.com. 6 de setembro de 2018. Consultado em 13 de maio de 2021
- ↑ «How to defend against TCP port 445 and other SMB exploits». SearchSecurity (em inglês). Consultado em 14 de janeiro de 2022
- ↑ Storm, Darlene (13 de abril de 2016). «Cryptoworms: The future of ransomware hell». Computerworld (em inglês). Consultado em 14 de janeiro de 2022
- ↑ a b Erro de citação: Etiqueta
<ref>
inválida; não foi fornecido texto para as refs de nome:7
- ↑ «North Korean Regime-Backed Programmer Charged With Conspiracy to Conduct Multiple Cyber Attacks and Intrusions». www.justice.gov (em inglês). 6 de setembro de 2018. Consultado em 14 de janeiro de 2022
- ↑ a b c Al Ali, Nour (16 de janeiro de 2018). «North Korean Hacker Group Seen Behind Crypto Attack in South». Bloomberg.com. Consultado em 17 de janeiro de 2018
- ↑ a b Kharpal, Arjun (17 de janeiro de 2018). «North Korea government-backed hackers are trying to steal cryptocurrency from South Korean users». CNBC. Consultado em 17 de janeiro de 2018
- ↑ a b Mascarenhas, Hyacinth (17 de janeiro de 2018). «Lazarus: North Korean hackers linked to Sony hack were behind cryptocurrency attacks in South Korea». International Business Times UK (em inglês). Consultado em 17 de janeiro de 2018
- ↑ Limitone, Julia (17 de janeiro de 2018). «Bitcoin, cryptocurrencies targeted by North Korean hackers, report reveals». Fox Business (em inglês). Consultado em 17 de janeiro de 2018
- ↑ Ashford, Warwick (17 de janeiro de 2018). «North Korean hackers tied to cryptocurrency attacks in South Korea». Computer Weekly (em inglês). Consultado em 17 de janeiro de 2018
- ↑ «South Korean crypto exchange files for bankruptcy after hack». The Straits Times (em inglês). 20 de dezembro de 2017. Consultado em 17 de janeiro de 2018
- ↑ «Bitcoin exchanges targeted by North Korean hackers, analysts say». MSN Money. 21 de dezembro de 2017. Consultado em 17 de janeiro de 2018. Arquivado do original em 18 de janeiro de 2018
- ↑ «NiceHash security breach investigation update – NiceHash». NiceHash (em inglês). Consultado em 13 de novembro de 2018
- ↑ a b Volz (16 de setembro de 2019). «U.S. Targets North Korean Hacking as National-Security Threat». MSN. Consultado em 16 de setembro de 2019
- ↑ Stubbs, Jack (27 de novembro de 2020). «Exclusive: Suspected North Korean hackers targeted COVID vaccine maker AstraZeneca – sources». Reuters
- ↑ a b Newman, Lily Hay. «North Korea Targets—and Dupes—a Slew of Cybersecurity Pros». Wired (em inglês). ISSN 1059-1028. Consultado em 17 de março de 2023
- ↑ a b «New campaign targeting security researchers». Google (em inglês). 25 de janeiro de 2021. Consultado em 13 de março de 2023
- ↑ a b «ZINC attacks against security researchers». Microsoft Security Blog (em inglês). Microsoft Threat Intelligence Center (MSTIC), Microsoft Defender Threat Intelligence. 28 de janeiro de 2021. Consultado em 13 de março de 2023
- ↑ a b «North Korea–linked Lazarus Group responsible for nearly 20% of crypto losses—more than $300 million worth—in 2023». Fortune Crypto (em inglês). Consultado em 15 de dezembro de 2023
- ↑ «North Korean hackers target gamers in $615m crypto heist - US». BBC News (em inglês). 15 de abril de 2022. Consultado em 15 de abril de 2022
- ↑ «FBI Confirms Lazarus Group Cyber Actors Responsible for Harmony's Horizon Bridge Currency Theft». Federal Bureau of Investigation (em inglês). Consultado em 22 de março de 2023
- ↑ Satter, Raphael (13 de junho de 2023). «North Korean hackers stole $100 million in recent cryptocurrency heist, analysts say». Reuters (em inglês). Consultado em 5 de dezembro de 2023
- ↑ «FBI Identifies Cryptocurrency Funds Stolen by DPRK». FBI. 22 de agosto de 2023
- ↑ «FBI Identifies Lazarus Group Cyber Actors as Responsible for Theft of $41 Million from Stake.com». FBI. 6 de setembro de 2023
- ↑ «North Korea Designation Update». U.S. Department of the Treasury (em inglês). Consultado em 15 de abril de 2022
- ↑ D'Cruze, Danny (29 de julho de 2024). «WazirX hacked: North Korean hackers behind $235 million theft from Indian investors, report reveals». Business Today (em inglês). Consultado em 31 de julho de 2024
- ↑ «North Korean hackers suspected of being behind record US$1.5 billion hack of crypto exchange Bybit». CNA
- ↑ «How barely connected North Korea became a hacking superpower». South China Morning Post (em inglês). 1 de fevereiro de 2018. Consultado em 10 de outubro de 2021
- ↑ https://archive.today/20171221172454/https://www.nbcnews.com/news/north-korea/how-north-korea-recruits-trains-its-army-hackers-n825521
- ↑ https://archive.today/20241203012603/https://www.dailynk.com/english/a-look-at-mirim-college-hotbed-of/
- ↑ Murdock, Jason (9 de março de 2018). «As Trump cozies up to Kim Jong-un, North Korean hackers target major banks». Newsweek (em inglês). Consultado em 16 de agosto de 2019
- ↑ a b c «Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups». U.S. Department of the Treasury. 2019
- ↑ a b c d «North Korean Cyber Activity» (PDF). U.S. Department of Health & Human Services. 2021
- ↑ Meyers, Adam (6 de abril de 2018). «STARDUST CHOLLIMA | Threat Actor Profile | CrowdStrike» (em inglês). Consultado em 16 de agosto de 2019
- ↑ Lazarus APT Spinoff Linked to Banking Hacks | Threatpost
- ↑ a b c «North Korean Tactics» (PDF). Federation of American Scientists. U.S. Army. 2020. pp. E–1, E–2
- ↑ Alperovitch, Dmitri (19 de dezembro de 2014). «FBI Implicates North Korea in Destructive Attacks» (em inglês). Consultado em 16 de agosto de 2019
- ↑ Choe, Sang-Hun (10 de outubro de 2017). «North Korean Hackers Stole U.S.-South Korean Military Plans, Lawmaker Says». The New York Times (em inglês). ISSN 0362-4331. Consultado em 16 de agosto de 2019
- ↑ Huss, Darien. «North Korea Bitten by Bitcoin Bug» (PDF). proofpoint.com. Consultado em 16 de agosto de 2019
- ↑ Cimpanu, Catalin (17 de fevereiro de 2021). «US charges two more members of the 'Lazarus' North Korean hacking group». ZDNet (em inglês). Consultado em 20 de fevereiro de 2021
- ↑ «Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe». US Dept of Justice (em inglês). 17 de fevereiro de 2021. Cópia arquivada em 8 de abril de 2023
Fontes
[editar | editar código-fonte]- Virus News (2016). "Kaspersky Lab Helps to Disrupt the Activity of the Lazarus Group Responsible for Multiple Devastating Cyber-Attacks", Kaspersky Lab.
- RBS (2014). "A Breakdown and Analysis of the December 2014 Sony Hack". RiskBased Security.
- Cameron, Dell (2016). "Security Researchers Say Mysterious 'Lazarus Group' Hacked Sony in 2014", The Daily Dot.
- Zetter, Kim (2014). "Sony Got Hacked Hard: What We Know and Don't Know So Far", Wired.
- Zetter, Kim (2016). "Sony Hackers Were Causing Mayhem Years Before They Hit The Company", Wired.