Web3史上最大の強盗事件の首謀者Lazarus Groupの背後にある物語

出典：ウィキペディア

編纂：Yobo，Foresight News

以下の内容はウィキペディアの「Lazarus Group」記事から翻訳されたものです：

Lazarus Group（「Guardians」または「Peace or Whois Team」とも呼ばれる）は、人数不明のメンバーで構成されるハッカー組織で、北朝鮮政府によって操られているとされています。この組織についての理解は限られていますが、2010年以降、研究者たちはいくつかのサイバー攻撃を彼らに帰属させています。

この組織はもともと犯罪集団でしたが、現在ではその攻撃意図、もたらす脅威、行動時に使用されるさまざまな手段により、高度な持続的脅威（APT）組織として認識されています。サイバーセキュリティ機関は、彼らに「Hidden Cobra」（アメリカ国土安全保障省が北朝鮮政府による悪意のあるネットワーク活動を指すために使用する名称）や「ZINC」、「Diamond Sleet」（マイクロソフトの呼称）などの別名を付けています。亡命者の金国松によれば、この組織は北朝鮮国内で「414連絡事務所」と呼ばれています。

Lazarus Groupは北朝鮮と密接に関連しています。アメリカ司法省は、この組織が北朝鮮政府の戦略の一部であり、「世界のサイバーセキュリティを破壊し、制裁規定に違反して不法収入を得る」ことを目的としていると主張しています。北朝鮮はサイバー活動を通じて多くの利益を得ることができ、非常に精鋭な小チームを維持するだけで「グローバル」な非対称的脅威を構成できます（特に韓国に対して）。

発展の歴史

この組織が最初に行った攻撃は、2009年から2012年の「トロイ作戦」とされています。これはサイバー諜報活動であり、彼らはそれほど複雑ではない分散型サービス拒否攻撃（DDoS）技術を利用して、ソウルにある韓国政府を標的にしました。2011年と2013年にも攻撃を行いました。確証はありませんが、2007年に韓国を標的にした攻撃も彼らの仕業である可能性があります。この組織の有名な攻撃は2014年に発生し、ソニー・ピクチャーズを標的にしました。この攻撃はより複雑な技術を使用しており、時間の経過とともにこの組織がますます成熟していることを示しています。

報告によれば、2015年にLazarus Groupはエクアドルのオストロ銀行から1200万ドルを盗み、ベトナムの先鋒銀行から100万ドルを盗みました。彼らはポーランドとメキシコの銀行も標的にしました。2016年の銀行強盗事件では、彼らはある銀行に攻撃を仕掛け、8100万ドルを盗み出しました。この事件もこの組織によるものと見なされています。2017年には、Lazarus Groupが台湾の遠東国際商業銀行から6000万ドルを盗んだとの報告がありましたが、実際に盗まれた金額は不明であり、大部分の資金は回収されました。

この組織の真の背後にいる人物は不明ですが、メディアの報道によれば、この組織は北朝鮮と密接に関連しています。2017年、カスペルスキー研究所は、Lazarus Groupがスパイ活動や浸透型のサイバー攻撃に焦点を当てる傾向があり、その内部の「Bluenoroff」と呼ばれる子組織は金融ネットワーク攻撃を専門に行っていると報告しました。カスペルスキーは世界中で多くの攻撃事件を発見し、Bluenoroffがこの国と直接的なIPアドレスの関連を持っていることを確認しました。

しかし、カスペルスキーはまた、コードの再利用が「偽旗作戦」である可能性があり、調査者を誤導して北朝鮮に罪を着せることを目的としていると認めています。結局、世界中の「WannaCry」ワーム攻撃はアメリカ国家安全保障局の技術を模倣したものです。このランサムウェアは、アメリカ国家安全保障局の「永遠のブルー」脆弱性を利用しました。2017年4月、「シャドウブローカー」と名乗るハッカー集団がこの脆弱性を公開しました。2017年、シマンテックは「WannaCry」攻撃がLazarus Groupによるものである可能性が非常に高いと報告しました。

2009年「トロイ作戦」

Lazarus Groupの最初の重大なハッキング事件は、2009年7月4日に発生し、「トロイ作戦」の開始を示しました。この攻撃は「私の終わり」と「ブルドーザー」というマルウェアを利用して、アメリカと韓国のウェブサイトに対して大規模でありながら手法はそれほど複雑ではないDDoS攻撃を仕掛けました。この攻撃は約36のウェブサイトを標的にし、マスターブートレコード（MBR）に「独立記念日」の文字を埋め込みました。

2013年韓国ネットワーク攻撃（「Operation 1 行動」/「ダークソウル」行動）

時間が経つにつれて、この組織の攻撃手法はますます複雑になりました。彼らの技術とツールもより成熟し、効果的になっています。2011年3月の「十日雨」攻撃は、韓国のメディア、金融、重要インフラを標的にし、より複雑なDDoS攻撃を採用しました。これらの攻撃は韓国国内の侵入されたコンピュータから発信されました。2013年3月20日、「ダークソウル」行動が展開され、これはデータ消去の攻撃で、韓国の3つの放送局、金融機関、インターネットサービスプロバイダーを標的にしました。当時、「新ローマネット軍団」と「WhoIsチーム」と名乗る2つの組織がこの攻撃の責任を主張しましたが、研究者たちはその背後にLazarus Groupがいることを知りませんでした。現在、研究者たちはLazarus Groupがこれらの破壊的な攻撃の主導者であることを知っています。

2014年末：ソニー・ピクチャーズが侵害される

2014年11月24日、Lazarus Groupの攻撃はピークに達しました。この日、Redditにソニー・ピクチャーズが不明な手段で侵害されたという投稿があり、攻撃者は「平和の守護者」と名乗りました。大量のデータが盗まれ、攻撃後数日間にわたって徐々に漏洩しました。自称この組織のメンバーはインタビューで、彼らはソニーのデータを1年以上にわたって盗んでいたと述べました。

ハッカーは未発表の映画、いくつかの映画の脚本、今後の映画計画、会社の幹部の給与情報、電子メール、および約4000人の従業員の個人情報にアクセスすることができました。

2016年初頭の調査：「重爆弾作戦」

「重爆弾作戦」と名付けられたこの作戦は、Novettaが主導する複数のセキュリティ会社の連合によって行われ、さまざまなサイバーセキュリティ事件で発見されたマルウェアサンプルの分析が行われました。これらのデータを利用して、チームはハッカーの手法を分析しました。彼らはコード再利用パターンを通じて、Lazarus Groupといくつかの攻撃を関連付けました。たとえば、彼らはインターネット上であまり知られていない暗号アルゴリズム「カラカス」暗号を使用しました。

2016年のある銀行ネットワーク盗難事件

2016年2月、ある銀行の盗難事件が発生しました。セキュリティハッカーはSWIFTネットワークを通じて35件の詐欺指令を発信し、ある国の中央銀行からニューヨーク連邦準備銀行の口座に不正に近10億ドルを移転しようとしました。35件の詐欺指令のうち5件が成功し、1.01億ドルが移転され、そのうち2000万ドルがスリランカに、8100万ドルがフィリピンに流れました。ニューヨーク連邦準備銀行は1件の指令のスペルミスに疑念を抱き、残りの30件の取引を阻止しました。サイバーセキュリティ専門家は、この攻撃の背後にあるのはある国のLazarus Groupであると述べています。

2017年5月「WannaCry」ランサムウェア攻撃

「WannaCry」攻撃は大規模なランサムウェアネットワーク攻撃で、2017年5月12日、英国の国民保健サービス（NHS）からボーイング社、さらには中国のいくつかの大学まで、世界中の多くの機関が影響を受けました。この攻撃は7時間19分続きました。欧州刑事警察機構は、この攻撃が150か国の約20万台のコンピュータに影響を与えたと推定しており、主に影響を受けた地域にはロシア、インド、ウクライナ、台湾が含まれます。これは最初の暗号ワーム攻撃の一つです。暗号ワームは、ネットワークを介してコンピュータ間で自動的に感染する悪意のあるソフトウェアの一種で、ユーザーの直接操作を必要としません。この攻撃では、TCPポート445を利用しました。コンピュータがこのウイルスに感染するには、悪意のあるリンクをクリックする必要はなく、悪意のあるソフトウェアは自動的に拡散し、1台のコンピュータから接続されたプリンターに、さらに近くの無線ネットワークに接続された他のコンピュータに感染します。ポート445の脆弱性により、悪意のあるソフトウェアは内部ネットワーク内で自由に拡散し、数千台のコンピュータに迅速に感染しました。「WannaCry」攻撃は、暗号ワームを大規模に使用した最初の攻撃の一つです。

攻撃方法：このウイルスはWindowsオペレーティングシステムの脆弱性を利用し、コンピュータデータを暗号化して約300ドル相当のビットコインを支払うよう要求しました。被害者に支払いを促すため、3日後に身代金が倍増し、1週間以内に支払わなければ悪意のあるソフトウェアは暗号化されたデータファイルを削除します。悪意のあるソフトウェアは、マイクロソフトが開発した合法的なソフトウェア「Windows Crypto」を使用してファイルを暗号化しました。暗号化が完了すると、ファイル名には「Wincry」拡張子が追加され、これが「WannaCry」の名前の由来です。「Wincry」は暗号化の基盤ですが、悪意のあるソフトウェアはさらに「永遠のブルー」（EternalBlue）と「ダブルパルサー」（DoublePulsar）の2つの脆弱性を利用し、暗号ワームとなりました。「永遠のブルー」はウイルスを自動的にネットワーク経由で拡散させ、「ダブルパルサー」はウイルスを被害者のコンピュータ上で起動させます。つまり、「永遠のブルー」は感染したリンクをあなたのコンピュータに拡散させ、「ダブルパルサー」はそれをクリックします。

セキュリティ研究者のマーカス・ハッチンズは、あるセキュリティ研究会社の友人からこのウイルスサンプルを受け取った後、ウイルスにハードコーディングされた「アンチウイルススイッチ」を発見し、この攻撃を終了させました。この悪意のあるソフトウェアは、特定のドメイン名が登録されているかどうかを定期的にチェックし、そのドメイン名が存在しない場合にのみ暗号化操作を続行します。ハッチンズはこのチェックメカニズムを発見し、協定世界時の午後3時03分に関連するドメイン名を登録しました。悪意のあるソフトウェアは直ちに拡散を停止し、新しいデバイスへの感染を止めました。この状況は非常に興味深く、ウイルス制作者を追跡する手がかりを提供しました。通常、悪意のあるソフトウェアを阻止するには、ハッカーとセキュリティ専門家が数ヶ月にわたって戦う必要がありますが、これほど簡単に勝利することは予想外でした。この攻撃にはもう一つの異常な点があり、身代金を支払った後もファイルは復元できませんでした。ハッカーはわずか16万ドルの身代金を受け取り、多くの人が彼らの目的は金銭ではないと考えました。

「アンチウイルススイッチ」が簡単に解除され、身代金の利益がわずかだったため、多くの人がこの攻撃は国家によって支援されたものであり、その動機は経済的補償ではなく混乱を引き起こすことだと信じています。攻撃後、セキュリティ専門家は「ダブルパルサー」脆弱性がアメリカ国家安全保障局に由来することを追跡しました。この脆弱性はもともとサイバー兵器として開発されました。その後、「シャドウブローカー」というハッカー集団がこの脆弱性を盗み、最初はオークションにかけようとしましたが、成功せず、最終的には無料で公開しました。アメリカ国家安全保障局はその後、この脆弱性の情報をマイクロソフトに通知し、マイクロソフトは2017年3月14日に更新をリリースしましたが、攻撃が発生する1ヶ月も前のことでした。しかし、これでは不十分で、更新が強制的にインストールされるわけではなかったため、5月12日までに多くの脆弱性を持つコンピュータは修正されておらず、この攻撃によって驚異的な被害がもたらされました。

その後の影響：アメリカ司法省と英国当局は後に、「WannaCry」攻撃が北朝鮮のハッカー組織Lazarus Groupによるものであると認定しました。

2017年の暗号通貨攻撃事件

2018年、Recorded Futureは報告書を発表し、Lazarus Groupが暗号通貨ビットコインとモネロのユーザーに対する攻撃に関与していることを示しました。これらの攻撃は主に韓国のユーザーを標的にしていました。報告によれば、これらの攻撃は以前の「WannaCry」ランサムウェア攻撃やソニー・ピクチャーズへの攻撃と技術的に類似しています。Lazarus Groupのハッカーが使用する手段の一つは、韓国のワードプロセッサソフトウェアHangul（Hancomが開発）における脆弱性を利用することでした。もう一つの手段は、韓国の学生やCoinlinkなどの暗号通貨取引プラットフォームのユーザーを標的にしたフィッシング攻撃です。

ユーザーが悪意のあるソフトウェアを開くと、その電子メールアドレスとパスワードが盗まれます。Coinlinkは、同社のウェブサイトやユーザーの電子メールアドレスとパスワードがハッキングされたことを否定しています。報告書は次のようにまとめています：「2017年末のこの一連の攻撃は、ある国が暗号通貨に対する関心を高めていることを示しており、現在私たちはこの関心がマイニング、ランサムウェア攻撃、直接盗難などの広範な活動を含むことを知っています……」報告書はまた、ある国がこれらの暗号通貨攻撃を利用して国際金融制裁を回避していることを指摘しています。

2017年2月、ある国のハッカーが韓国の暗号通貨取引所Bithumbから700万ドルを盗みました。別の韓国のビットコイン取引所Youbitは、2017年4月に攻撃を受け、その年の12月には17％の資産が盗まれ、破産を申請せざるを得ませんでした。Lazarus Groupとある国のハッカーがこれらの攻撃の背後にいるとされています。2017年12月、暗号通貨クラウドマイニング市場のNicehashは4500枚以上のビットコインを失いました。調査の更新により、この攻撃がLazarus Groupに関連していることが示されました。

2019年9月の攻撃事件

2019年9月中旬、アメリカは「ElectricFish」と呼ばれる新しい悪意のあるソフトウェアの発見を公に警告しました。2019年初頭から、ある国の工作員は世界中で5件の重大なネットワーク盗難を実施し、その中にはクウェートの機関から4900万ドルを盗むことに成功した事件が含まれています。

2020年末の製薬会社攻撃事件

新型コロナウイルスのパンデミックが続く中、製薬会社はLazarus Groupの主要な標的となりました。Lazarus Groupのメンバーはフィッシング技術を利用し、衛生官のふりをして製薬会社の従業員に悪意のあるリンクを送信しました。多くの大手製薬企業が攻撃の標的となったと考えられていますが、現在確認されているのは英瑞合弁のアストラゼネカ社のみです。ロイター通信によれば、多くの従業員が攻撃の対象となり、その中には新型コロナウイルスワクチンの開発に関与している人々も含まれています。Lazarus Groupがこれらの攻撃を行った目的は不明ですが、敏感な情報を盗むこと、恐喝計画を実施すること、外国政権に新型コロナウイルスに関連する独自の研究成果を提供することが含まれる可能性があります。アストラゼネカはこの事件についてコメントしておらず、専門家は現在敏感なデータの漏洩はないと考えています。

2021年1月のサイバーセキュリティ研究者への攻撃事件

2021年1月、GoogleとMicrosoftは共に、ある国のハッカー集団が社会工学的手法を用いてサイバーセキュリティ研究者に対して攻撃を仕掛けたと報告し、Microsoftはこの攻撃がLazarus Groupによって実施されたことを明言しました。

ハッカーはTwitter、GitHub、LinkedInなどのプラットフォームで複数のユーザープロフィールを作成し、合法的なソフトウェア脆弱性研究者のふりをして、セキュリティ研究コミュニティの他の人々が投稿した投稿やコンテンツとやり取りしました。その後、特定のセキュリティ研究者に直接連絡を取り、共同研究を名目にして、被害者に悪意のあるソフトウェアを含むファイルをダウンロードさせたり、ハッカーが制御するウェブサイト上のブログ記事にアクセスさせたりしました。

ブログ記事にアクセスした被害者の中には、完全にパッチが適用されたGoogle Chromeブラウザを使用していたにもかかわらず、コンピュータが侵害されたと述べる人もおり、これはハッカーが以前に知られていないChromeのゼロデイ脆弱性を利用した可能性を示唆しています。しかし、Googleは報告書の発表時に具体的な侵入方法を特定できないと述べています。

2022年3月のAxie Infinity攻撃事件

2022年3月、Lazarus GroupはAxie Infinityゲームで使用されるRoninネットワークから6.2億ドル相当の暗号通貨を盗んだとされています。連邦捜査局は、「調査を通じて、Lazarus GroupとAPT38（北朝鮮に関連するネットワーク行為者）がこの盗難の背後にいることを確認しました」と述べました。

2022年6月のHorizon Bridge攻撃事件

連邦捜査局は、北朝鮮の悪意のあるネットワーク行為者組織Lazarus Group（APT38とも呼ばれる）が2022年6月24日に報告されたHarmonyのHorizon Bridgeから1億ドルの仮想通貨を盗んだ事件の背後にいることを確認しました。

2023年のその他の関連暗号通貨攻撃事件

ブロックチェーンセキュリティプラットフォームImmunefiが発表した報告書によれば、Lazarus Groupは2023年の暗号通貨ハッキング事件で3億ドル以上の損失を引き起こし、その年の総損失の17.6％を占めています。

2023年6月のAtomic Wallet攻撃事件：2023年6月、Atomic Walletサービスのユーザーから1億ドル以上の暗号通貨が盗まれ、連邦捜査局はその事件を確認しました。

2023年9月のStake.comハッキング事件：2023年9月、連邦捜査局はオンラインカジノおよび賭博プラットフォームStake.comから4100万ドル相当の暗号通貨が盗まれ、犯人はLazarus Groupであることを確認しました。

アメリカの制裁措置

2022年4月14日、アメリカ財務省海外資産管理局（OFAC）は、ある国の制裁規則第510.214条に基づき、Lazarus Groupを特別指定国民リスト（SDNリスト）に追加しました。

2024年の暗号通貨攻撃事件

インドのメディアによると、地元の暗号通貨取引所WazirXがこの組織の攻撃を受け、2.349億ドル相当の暗号資産が盗まれました。

人材育成

一部の北朝鮮のハッカーは、中国の瀋陽に派遣され、さまざまな悪意のあるソフトウェアをコンピュータ、コンピュータネットワーク、サーバーに埋め込む方法を専門的に学ぶとされています。北朝鮮国内では、金策工業総合大学、金日成総合大学、万景台大学が関連教育を担当しており、これらの大学は全国から最も優秀な学生を選抜し、6年間の特別教育を受けさせています。大学教育に加えて、「最も優秀なプログラマーの一部は……万景台大学またはMirim学院に送られ、さらなる教育を受けます」。

組織の分岐

Lazarus Groupは2つの分岐があると考えられています。

BlueNorOff

BlueNorOff（APT38、「星辰千里馬」、「BeagleBoyz」、「NICKEL GLADSTONE」とも呼ばれる）は、経済的利益に駆動される組織で、SWIFT指令を偽造して不法資金移転を行っています。MandiantはこれをAPT38と呼び、Crowdstrikeは「星辰千里馬」と呼んでいます。

アメリカ陸軍の2020年の報告によれば、BlueNorOffには約1700人のメンバーがいて、敵のネットワークの脆弱性やシステムを長期的に評価し、金融ネットワーク犯罪活動に従事し、その国の政権に経済的利益をもたらすか、関連システムを制御しています。2014年から2021年の間に、彼らの標的には少なくとも13か国の16の機関が含まれ、これらの国にはバングラデシュ、チリ、インド、メキシコ、パキスタン、フィリピン、韓国、台湾、トルコ、ベトナムなどが含まれます。これらの不法所得は、その国のミサイルや核技術の研究開発に使用されていると考えられています。

BlueNorOffの最も悪名高い攻撃は、2016年のある銀行盗難事件で、彼らはSWIFTネットワークを通じて、ある国の中央銀行からニューヨーク連邦準備銀行の口座に不法に近10億ドルを移転しようとしました。一部の取引は成功し（2000万ドルがスリランカに、8100万ドルがフィリピンに流れました）、その後、ニューヨーク連邦準備銀行は1件の指令のスペルミスに疑念を抱き、残りの取引を阻止しました。

BlueNorOffに関連する悪意のあるソフトウェアには、「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「WannaCry」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」および「Powerspritz」などがあります。

BlueNorOffがよく使用する手段には、フィッシング、バックドアの設定、脆弱性攻撃、水飲み場攻撃、古くて安全でないApache Struts 2のバージョンを利用してシステム上でコードを実行すること、戦略的にウェブサイトに侵入すること、Linuxサーバーへのアクセスなどがあります。報告によれば、彼らは時折、犯罪ハッカーと協力することもあります。

AndAriel

AndAriel（Andarialとも綴られる）には、沈黙の千里馬（Silent Chollima）、ダークソウル（Dark Seoul）、ライフル（Rifle）、およびワソニテ（Wassonite）という別名があります。論理的には、韓国を攻撃対象とする特徴があります。AndArielの別名「沈黙の千里馬」は、この組織の行動が秘匿されている特性に由来しています。韓国のいかなる機関もAndArielの攻撃の対象となる可能性があり、標的には政府機関、防衛機関、さまざまな経済的象徴的実体が含まれます。

アメリカ陸軍の2020年の報告によれば、AndArielには約1600人のメンバーがいて、彼らの任務は偵察、ネットワークの脆弱性の評価、敵のネットワークマップの作成を行い、潜在的な攻撃を実施することです。韓国以外にも、他の国の政府、インフラ、企業も攻撃の標的とされています。攻撃手段には、ActiveXコントロールの利用、韓国のソフトウェアの脆弱性、水飲み場攻撃、フィッシング（マクロウイルス方式）、IT管理製品（ウイルス対策ソフトウェア、プロジェクト管理ソフトウェアなど）への攻撃、サプライチェーン（インストーラーや更新プログラム）を通じた攻撃が含まれます。使用される悪意のあるソフトウェアには、アリアン（Aryan）、灰鳩リモートアクセス型トロイの木馬（Gh0st RAT）、Rifdoor、Phandoor、Andaratなどがあります。

関連者の起訴状況

2021年2月、アメリカ司法省は北朝鮮の軍事情報機関である偵察総局の3人のメンバー、朴晋赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）、金一朴（Kim Il Park）を起訴し、彼らがLazarus Group（Lazarus）の複数のハッキング活動に関与したと告発しました。朴晋赫は2018年9月にすでに起訴されていました。これらの容疑者は現在、アメリカに拘束されていません。また、カナダ人1名と中国人2名もLazarus Groupの資金運搬者およびマネーロンダリング者として起訴されています。