Группа Lazarus: Анатомия передовой киберугрозы

Когда речь заходит о самых дерзких и продуманных взломах, эксперты в области информационной безопасности часто упоминают название «Lazarus». Это северокорейская группировка, которая уже более 16 лет атакует финансовые учреждения, криптобиржи, ядерные объекты и крупные корпорации по всему миру. Их стиль сочетает шпионаж, кражу гигантских сумм и точечные удары по репутации жертв.

К настоящему моменту у Lazarus накоплен «послужной список» эпических киберпреступлений: от взлома Sony Pictures до атаки на Банк Бангладеш, от шифровальщика WannaCry, парализовавшего сотни тысяч компьютеров, до целенаправленных атак на критически важную инфраструктуру и, конечно, криптовалютные биржи. В 2025 году группа провела, пожалуй, свою самую громкую операцию, в прямом смысле слова «напечатав» миллиарды долларов. Как именно это произошло, и почему даже спецслужбы нескольких стран оказались бессильны? Давайте разбираться.

«Черная пятница» 21 февраля 2025 года: крупнейшее ограбление в истории

21 февраля 2025 года, в самую обыкновенную пятницу, в криптопространстве произошла шокирующая кража: неизвестные взломали крупную биржу Bybit и вывели оттуда 401 тысячу ETH, что по оценкам на тот момент составляло более $1,4 миллиарда. Этот случай моментально вызвал панику среди клиентов биржи, и всего за первые 10 часов с момента инцидента было получено свыше 350 тысяч заявок на вывод средств.

Давление на репутацию оказалось еще губительнее прямых потерь: уже к 24 февраля совокупный отток средств с биржи оценивался в $5,5 миллиарда. Сама Bybit старалась действовать оперативно: совладелец и руководитель площадки Бен Чжоу объявил «войну Lazarus» и назначил награду в $140 млн любому, кто сможет отследить и заморозить украденные токены (условие — гонорар делится в равных долях между обнаружившим транзакции и субъектами, сумевшими их заблокировать).

К разбирательству подключилось ФБР: ведомство обратилось к игрокам рынка и исследовательским компаниям с просьбой тщательно мониторить подозрительные переводы. Однако пока усилия остаются безрезультатными: к 4 марта сообщалось, что около 20% украденных средств уже были отмыты, и их дальнейшее отслеживание невозможно.

Примечательно, что через несколько дней после самого взлома, 27 февраля, случился еще один крупный «подозрительный» вывод средств с Bybit на сумму около $650 млн, однако прямой связи с Lazarus расследователи так и не установили.

По мнению ряда экспертов, главная особенность взлома Bybit — это буквально «космическая» скорость отмывания похищенных средств. Если раньше для перемещения сотен миллионов долларов в анонимные криптокошельки и в офлайновый кэш требовались недели, то здесь ключевые транзакции были совершены за считаные часы. Как подчеркнул руководитель TRM Labs Ари Редборд, «никогда прежде преступные сети не выводили такие суммы настолько быстро». Эксперт отметил, что это указывает на колоссальный рост возможностей и финансовой инфраструктуры, которая служит северокорейским киберпреступникам.

Кто такие Lazarus: имена-легенды и реальные подозрения

Если поискать информацию о Lazarus, можно наткнуться на десяток различных названий: Hidden Cobra, Zinc, APT 38, TraderTraitor, Guardians of Peace, Bureau 121, Diamond Sleet… Никакой официальной «таблички» с именем «Lazarus» в реальности не существует, это всего лишь удобные термины, которыми пользуются исследователи кибербезопасности и спецслужбы, чтобы обозначить, по сути, один и тот же феномен.

На протяжении 16 лет эксперты спорят, представляет ли Lazarus единый иерархический организм или набор разных хакерских групп из Северной Кореи. Есть гипотеза, что внутри местной армии существует засекреченное киберподразделение под названием Lab 110 (или Подразделение 121), откуда и ведется вся «нечестная игра». Lazarus может быть самой элитной частью этого подразделения, получающей доступ к критическим технологиям и спецоборудованию.

В 2018 году ФБР объявило в розыск Пак Чин Хёка — единственного человека, которого прямо обвинили в причастности к деятельности Lazarus. США инкриминируют ему участие во взломе Sony (2014), создании вируса WannaCry (2017) и ряде прочих эпизодов. Однако достоверность этих обвинений остается неясной: власти КНДР утверждают, что такой человек вообще не существует, а все обвинения — «фейк для введения общественности в заблуждение».

Подобная реакция неудивительна: благодаря тому, что страна полностью закрыта, спецслужбам крайне сложно получить объективные доказательства. Если даже «господин Пак» и реален, неизвестно, какую позицию он занимает в группе — командир, связующее звено, обычный «исполнитель» или вовсе случайная «ширма» для прикрытия.

Связь с правительством КНДР: от Chosun Expo до Lab 110

Северная Корея отрицает свою причастность к каким-либо кибератакам. Но западные эксперты при этом указывают на ряд компаний и госучреждений из КНДР, которые прямо или косвенно вовлечены в деятельность Lazarus. Например, Chosun Expo Joint Venture — формально софтверная фирма с офисом в Китае, на практике же, по утверждению исследователей, являющаяся лишь «обложкой» для более масштабных операций.

Разумеется, непосредственных публичных признаний нет, однако имеются различные косвенные свидетельства: лингвистические и временные паттерны (когда активность хакеров совпадает с рабочими часами в Пхеньяне), схожесть элементов кода в нескольких крупных атаках, постоянная ротация злоумышленников между «коммерческими» схемами и кампаниями по кибершпионажу.

Учитывая серьезность международных санкций и экономическую изоляцию, любые дополнительные источники финансирования для КНДР представляют колоссальную ценность. По оценке Комитета Совета Безопасности ООН, кибератаки за период с 2016 по 2019 год принесли стране около $2 млрд — это гигантская сумма, особенно если учесть, что ВВП Северной Кореи в 2019-м составлял около $18 млрд.

Какой процент государственного бюджета формируют «доходы» Lazarus, точно сказать никто не может, однако, судя по многим косвенным данным, данная деятельность — один из ключевых финансовых потоков северокорейского режима.

Тайна быта «лазарей» и легенды о хакерах из Пхеньяна

В самой Северной Корее Интернет практически отсутствует, а население пользуется лишь внутренней сетью «Кванмён», которая жестко контролируется. Как же в таком случае формируются профессиональные киберпреступники мирового уровня?

Согласно показаниям ряда беглецов и официальным сводкам разведывательных управлений, еще с 2000-х годов в КНДР существует программа по выявлению одаренных детей (примерно с 11 лет), которые затем проходят многолетнее обучение в специальных школах и вузах с упором на информатику и криптографию. Самые талантливые попадают в структуры вроде Университета Ким Ир Сена или Технологического университета Ким Чаека. Там они изучают программирование, сети и способы взлома.

Кроме того, в китайском городе Шэньян, по информации некоторых источников, расположена своего рода «выездная база» для тренировок и работы северокорейских хакеров — офисы и рестораны, через которые отмываются похищенные средства, и откуда удобнее вести атаки по всему миру. Официально Пекин все это отрицает, но тесные экономические связи с КНДР и единая сухопутная граница позволяют предположить, что китайские власти смотрят на подобные активности достаточно снисходительно.

Неясно, как именно «лазарей» мотивируют и поощряют. В «обычной» Северной Корее не слишком много способов потратить миллионы долларов, да и какие-либо бонусы (от премий до дополнительных пайков) вряд ли могут сравниться с возможностью жить за границей с полным доступом к мировым ресурсам. Видимо, для хакеров созданы специальные условия, которые делают их жизнь значительно лучше, чем у рядовых граждан КНДР. Но «черный ящик» северокорейской пропаганды и политики надежно скрывает любые подробности.

Хронология громких операций Lazarus

Несмотря на то что первые DDoS-атаки, приписываемые этому сообществу, пришлись еще на конец 2000-х годов, по-настоящему громкие истории начались в 2014-м. Ниже приводится краткая подборка ключевых эпизодов, наглядно демонстрирующих возможности группы.

1. Взлом Sony Pictures (2014)

В ноябре 2014 года хакеры Lazarus получили доступ к внутренней сети Sony Pictures Entertainment. В результате утечки в открытом доступе оказались личные данные сотрудников, внутренние электронные письма, еще не изданные фильмы и другие крайне деликатные документы.

Считается, что это была «акция возмездия» за готовящийся к выходу фильм «Интервью», в котором персонажи выдуманного сюжета совершали покушение на Ким Чен Ына. В итоге Sony понесла серьезные репутационные и финансовые потери, а Lazarus впервые обрела всемирную известность.

2. Банк Бангладеш (2016)

Одно из самых дерзких ограблений в банковском секторе: в феврале 2016 года злоумышленники оформили через сеть SWIFT 35 поддельных платежных поручений на общую сумму $1 млрд со счета Федерального резервного банка Нью-Йорка, принадлежащего Центральному банку Бангладеш. Из-за орфографической ошибки в одной из транзакций службе безопасности удалось остановить большую часть переводов, однако $101 млн хакеры все же успели вывести на Филиппины и Шри-Ланку.

3. WannaCry (2017)

В мае 2017-го мир потрясла эпидемия вируса-шифровальщика WannaCry, который через уязвимость в протоколе SMB для Windows (EternalBlue) заразил сотни тысяч компьютеров, в том числе в больницах и госорганизациях по всему миру. Выкуп требовался в биткоинах. Анализ кода указал на связь вируса с Lazarus, а США и их союзники в итоге публично обвинили Северную Корею в создании WannaCry.

4. Мошенничество с криптовалютами (2017–по наст. время)

Ускоренное развитие крипторынка сделало его привлекательной мишенью для Lazarus. Группировка атаковала сразу несколько бирж и кошельков (включая Bithumb и KuCoin), а также кроссчейн-мосты (например, у проекта Harmony) — общий ущерб за все время оценивается в сотни миллионов долларов.

Одним из самых громких кейсов до Bybit считалось похищение $620 млн у NFT-игры Axie Infinity в 2022 году. Тогда злоумышленники взломали мост Ronin и вывели эфир и стейблкоины на анонимные кошельки.

5. FastCash (2018)

Еще одна яркая финансовая операция, когда в ряде стран Азии и Африки из банкоматов одновременно начали выдавать крупные суммы наличными по фальшивым транзакциям. Хакеры «доработали» опыт, полученный при ограблении Банка Бангладеш, и создали цепочку серверов, где автоматически подтверждались любые нужные им команды.

6. Ryuk и новые шифровальщики (2018–2019)

На основе кода Hermes (использованного в атаке на банк Тайваня) Lazarus разработала более опасный шифровальщик Ryuk. Этот троян отключал антивирусные службы и систему резервного копирования на зараженных машинах, что делало его чрезвычайно эффективным. Многие компании в Азии и США пережили серьезные простои и большие финансовые потери.

7. Operation Sharpshooter (2018)

Компания McAfee сообщила о кампании Sharpshooter, направленной на 87 организаций в Южной Америке, Европе, на Ближнем Востоке, в Австралии и Японии. Цели были выбраны в сфере обороны, финансов, энергетики и телекома. Исследователи установили связь с Lazarus по характерным совпадениям в коде и инфраструктуре.

8. Атака на оборонные объекты и LinkedIn-кейсы (2019–2021)

Под псевдонимом Bluenoroff Lazarus начала кампанию против компаний, связанных с высокими технологиями и военными разработками. Одновременно хакеры стали массово использовать фальшивые предложения о работе в LinkedIn и других соцсетях, рассылая «тестовые задания» со встроенным вредоносом. Под удар попадали сотрудники Google, Microsoft и других IT-гигантов.

9. Взлом Axie Infinity (2022)

В марте 2022-го объектом атаки становится NFT-игра Axie Infinity, точнее кроссчейн-мост Ronin. Хакеры увели 173 600 ETH и 25,5 млн USDC, что составляло порядка $620 млн. Минфин США призвал криптоиндустрию быть бдительнее, а Lazarus официально включили в «черные списки» (SDN List).

10. Крупнейшее ограбление Bybit (2025)

И наконец, «корона» всех ограблений — похищение 401 000 ETH с биржи Bybit. Масштабы этого взлома вдвое превышают предыдущие рекорды группы, а скорость отмывания средств заставляет экспертов говорить о новом уровне кибермощи северокорейцев. Несмотря на высокие награды за любую помощь и вмешательство ФБР, хакерам удалось достаточно быстро «растворить» большую часть средств в сети нелегальных обменников. Для самой Bybit событие обернулось паникой среди пользователей, многомиллиардным оттоком средств и критическим ударом по репутации.

Как они «стали такими умными»: от аркадных DDoS до многомиллиардных сделок

Считается, что в 2009–2011 годах Lazarus в основном занималась лишь DDoS-кампаниями, атакуя южнокорейские госучреждения и СМИ. Однако уже к 2013 году группа резко подняла планку, начав использовать вредоносное ПО для кражи конфиденциальных данных. Известно, что северокорейские власти с 2004 года активно «прокачивают» профильные вузы и техникумы, растя будущие кадры кибервоенного фронта.

Помимо внутренней подготовки, значительную роль играет присутствие в Китае, где можно воспользоваться более мощной интернет-инфраструктурой и широким спектром полезных сервисов. Кроме того, сами участники группы фактически «импортируют» иностранные знания, обучаясь на международных олимпиадах по математике и программированию, при этом находясь под тщательным надзором.

Идеальный «вечный двигатель» преступлений

Lazarus фактически нашла идеальную схему для «кормления» северокорейского режима: каждая успешная атака приносит миллионы, а иногда и миллиарды долларов, которые можно направить на финансирование дальнейших операций. Сами хакеры находятся под защитой государства, которое не признает их существование и не боится никаких правовых преследований извне.

Даже если спецслужбам других стран удается «засветить» какие-то серверы или имена, нет реальных инструментов, способных заставить Пхеньян выдавать собственных граждан. Санкции лишь подталкивают к более изощренным способам вывода и отмывания средств, в том числе через криптомиксеры, peer-to-peer биржи и целые цепочки фальшивых компаний.

Типичные методики и TTP Lazarus

Группа Lazarus славится гибкостью и креативностью. Однако есть несколько общих черт, свойственных их атакам:

• Социальная инженерия. От банальных фишинговых писем до грандиозных «рекрутинговых» афер в соцсетях типа LinkedIn. Зачастую жертве предлагают открыть документ или выполнить тестовое задание, внутри которого спрятан троян.
• Эксплойты нулевого дня. Группа использует уязвимости, о которых разработчики ПО еще не знают. Благодаря этому шансы заразить систему возрастают в разы.
• Бэкдоры и RAT. Чаще всего злоумышленники незаметно устанавливают инструменты удаленного доступа. Это дает им полный контроль над сетью жертвы в течение долгого времени.
• Сложная цепочка отмывания средств. Для вывода украденных денег (особенно в криптовалюте) Lazarus применяет смешивание транзакций, P2P-обменники и множественные переводы, отслеживать которые крайне затруднительно.
• Диверсификация целей. От оборонных предприятий и госструктур до ритейлеров и геймдев-стартапов — нет конкретного «любимого» направления, главное, чтобы выгоды было достаточно.

Как защититься от подобных атак

Учитывая ресурсы группы Lazarus и поддержку на государственном уровне, полностью исключить риск взлома практически невозможно. Тем не менее есть комплекс мер, который снижает вероятность «пролома»:

1. Обучение персонала. Наибольшее число взломов начинается с ошибок сотрудников. Регулярные тренинги по кибербезопасности, моделирование фишинговых кампаний и разбор реальных кейсов прививают навык осторожности.
2. Актуальные обновления ПО. Большинство успешных атак используют давно закрытые уязвимости, для которых компании не установили патчи. Ежедневный мониторинг критических обновлений для систем, приложений и сетевых компонентов — обязательное условие.
3. Сегментация сети. В идеале финансовые системы и критически важные узлы должны быть логически (или физически) отделены от общедоступных сегментов. Так атака не сможет моментально распространиться по всей сети.
4. Многофакторная аутентификация. Даже если пароль утечет, наличие второго фактора затруднит неавторизованный вход. Это особенно важно для администраторских аккаунтов.
5. Мониторинг транзакций. Криптобиржам и банкам следует отслеживать подозрительные переводы, чтобы вовремя блокировать или замораживать средства до того, как они «уйдут» в сложные схемы отмывания.
6. Прозрачность и обмен информацией. Банкам, криптобиржам и компаниям стоит поддерживать связь с правоохранительными органами и отраслевыми аналитическими центрами, чтобы оперативно обмениваться индикаторами компрометации.
7. Регулярный аудит кибербезопасности. Пентесты, баг-баунти и независимые проверки позволяют выявлять уязвимости в инфраструктуре, прежде чем ими воспользуются злоумышленники.

Заключение

Группировка Lazarus за 16 лет своего «теневого существования» сумела стать синонимом передовой киберпреступности. От первых DDoS в 2009-м до многоступенчатых ограблений миллиардных масштабов в 2025-м — этот путь показывает, насколько стремительно они учатся и совершенствуют технику взлома.

Закрытость Северной Кореи, отсутствие свободного Интернета для рядовых граждан, поддержка (прямая или косвенная) со стороны госструктур — все это создает среду, в которой вредоносная деятельность может процветать практически беспрепятственно. Пока существует эта «питательная среда», борьба со зловредами Lazarus будет оставаться крайне непростой задачей.

С другой стороны, истории вроде взлома Bybit еще раз указывают на необходимость международного сотрудничества в сфере кибербезопасности. Если для перевода сотен миллионов долларов через нелегальные каналы теперь нужны не месяцы, а считаные часы, значит, у киберпреступности появился еще более опасный формат. И чем быстрее мир начнет действовать скоординированно, тем выше шанс, что однажды даже Lazarus столкнется с барьерами, которые не удастся преодолеть одним лишь умением и креативом.

Впрочем, сколько еще «громких» дел числится на счету у этой группировки (возможно, они просто не были раскрыты) — и что может быть в планах «лазарей» после 2025 года — остается лишь догадываться. В условиях, когда атаки становятся все изощреннее, а отмывание денег — все быстрее, гибридная угроза в лице Lazarus продолжает оставаться одним из самых сложных вызовов в киберпространстве.