Web3 역사상 최대의 해킹 사건의 주범 Lazarus Group 뒤에 숨겨진 이야기

출처: 위키백과

편집: Yobo, Foresight News

다음 내용은 위키백과 항목 "Lazarus Group" 본문에서 번역한 것입니다:

Lazarus Group(또는 "Guardians" 또는 "Peace or Whois Team"으로도 알려짐)은 불특정 다수의 인원으로 구성된 해커 조직으로, 북한 정부의 조종을 받는 것으로 알려져 있습니다. 이 조직에 대한 정보는 제한적이지만, 2010년 이후 연구자들은 여러 차례의 사이버 공격을 그들에게 귀속시켰습니다.

이 조직은 처음에 범죄 집단이었으나, 현재는 공격 의도, 초래된 위협, 그리고 작전 시 사용되는 다양한 수단으로 인해 고급 지속 위협 조직으로 인정받고 있습니다. 사이버 보안 기관들은 그들에게 여러 별명을 붙였는데, 예를 들어 "Hidden Cobra"(미국 국토안보부가 북한 정부의 악의적인 사이버 활동을 지칭하는 용어), "ZINC" 또는 "Diamond Sleet"(마이크로소프트의 명칭) 등이 있습니다. 탈북자 김국송에 따르면, 이 조직은 북한 내에서 "414 연락 사무소"로 알려져 있습니다.

Lazarus Group는 북한과 밀접한 연관이 있습니다. 미국 법무부는 이 조직이 북한 정부 전략의 일환으로 "전 세계 사이버 보안을 파괴하고… 제재 규정을 위반하여 불법 수익을 얻는 것"을 목표로 한다고 주장합니다. 북한은 사이버 작전을 통해 많은 이점을 얻을 수 있으며, 매우 정교한 소규모 팀만으로 "전 세계적" 비대칭 위협을 구성할 수 있습니다(특히 한국을 겨냥하여).

발전 과정

이 조직이 최초로 감행한 공격은 2009년부터 2012년까지의 "트로이 작전"입니다. 이는 사이버 스파이 활동으로, 그들은 복잡하지 않은 분산 서비스 거부 공격(DDoS) 기술을 이용하여 서울에 위치한 한국 정부를 목표로 삼았습니다. 2011년과 2013년에도 그들은 공격을 감행했습니다. 확실하지는 않지만, 2007년 한국을 겨냥한 공격도 그들의 소행일 가능성이 있습니다. 이 조직의 유명한 공격 중 하나는 2014년에 발생했으며, 목표는 소니 픽처스였습니다. 이 공격은 더 복잡한 기술을 사용했으며, 시간이 지남에 따라 조직이 점점 더 성숙해지고 있음을 보여주었습니다.

보고서에 따르면, 2015년 Lazarus Group는 에콰도르의 오스트로 은행에서 1200만 달러를 훔쳤고, 베트남의 선도 은행에서도 100만 달러를 훔쳤습니다. 그들은 폴란드와 멕시코의 은행도 목표로 삼았습니다. 2016년의 은행 절도 사건에서 그들은 특정 은행을 공격하여 8100만 달러를 훔쳤으며, 이 사건도 이 조직의 소행으로 여겨집니다. 2017년에는 Lazarus Group가 대만의 먼동 국제 상업 은행에서 6000만 달러를 훔쳤다는 보도가 있었으나, 실제 도난 금액은 불확실하며 대부분의 자금은 회수되었습니다.

현재 이 조직의 진정한 배후가 누구인지 명확하지 않지만, 언론 보도에 따르면 이 조직은 북한과 밀접한 연관이 있습니다. 2017년 카스퍼스키 연구소는 Lazarus Group가 스파이 및 침투형 사이버 공격에 집중하는 경향이 있으며, 내부의 "Bluenoroff"라는 하위 조직은 금융 사이버 공격을 전문으로 한다고 보고했습니다. 카스퍼스키는 전 세계에서 여러 공격 사건을 발견했으며, Bluenoroff와 북한 간의 직접적인 IP 주소 연관성을 발견했습니다.

그러나 카스퍼스키는 코드의 재사용이 "가짜 깃발 작전"일 수 있다고 인정했으며, 이는 조사관을 오도하여 북한이 비난받도록 하기 위한 것입니다. 전 세계적으로 "WannaCry" 웜 공격은 미국 국가안보국의 기술을 모방한 것입니다. 이 랜섬웨어는 미국 국가안보국의 "영원한 블루" 취약점을 이용했으며, 2017년 4월 "그림자 중개인"이라는 해커 그룹이 이 취약점을 공개했습니다. 2017년, Symantec은 "WannaCry" 공격이 Lazarus Group의 소행일 가능성이 매우 높다고 보고했습니다.

2009년 "트로이 작전"

Lazarus Group의 첫 번째 주요 해킹 사건은 2009년 7월 4일에 발생했으며, "트로이 작전"의 시작을 알렸습니다. 이 공격은 "내 종말"과 "불도저" 악성 소프트웨어를 이용하여 미국과 한국의 웹사이트에 대규모이지만 복잡하지 않은 DDoS 공격을 감행했습니다. 이 공격은 약 36개의 웹사이트를 겨냥했으며, 주 부트 레코드(MBR)에 "독립기념일 기념"이라는 문구를 삽입했습니다.

2013년 한국 사이버 공격 ("Operation 1 작전"/"어두운 서울" 작전)

시간이 지남에 따라 이 조직의 공격 수단은 점점 더 복잡해졌습니다. 그들의 기술과 도구도 더욱 성숙하고 효과적이었습니다. 2011년 3월의 "십일의 비" 공격은 한국의 미디어, 금융 및 주요 인프라를 목표로 하였으며, 더 복잡한 DDoS 공격을 사용했습니다. 이 공격은 한국 내에서 해킹된 컴퓨터에서 발생했습니다. 2013년 3월 20일, "어두운 서울" 작전이 시작되었으며, 이는 데이터를 삭제하는 공격으로, 한국의 세 개 방송사, 금융 기관 및 인터넷 서비스 제공업체를 목표로 하였습니다. 당시 "신로마 네트워크 군단"과 "WhoIs 팀"이라는 두 조직이 이 공격에 책임이 있다고 주장했지만, 연구자들은 당시 Lazarus Group이 배후라는 사실을 알지 못했습니다. 현재 연구자들은 Lazarus Group이 이러한 파괴적인 공격의 주도자라는 것을 알고 있습니다.

2014년 말: 소니 픽처스 해킹

2014년 11월 24일, Lazarus Group의 공격이 절정에 달했습니다. 이날 Reddit에 소니 픽처스가 불명확한 방법으로 해킹당했다는 게시물이 올라왔으며, 공격자는 "평화의 수호자"라고 자칭했습니다. 대량의 데이터가 도난당했으며, 공격 후 며칠 동안 점차적으로 유출되었습니다. 자신을 이 조직의 구성원이라고 주장하는 한 사람이 인터뷰에서 그들은 소니의 데이터를 1년 이상 훔쳐왔다고 밝혔습니다.

해커는 아직 개봉되지 않은 영화, 일부 영화 대본, 향후 영화 계획, 회사 고위 임원의 급여 정보, 이메일 및 약 4000명의 직원 개인 정보에 접근할 수 있었습니다.

2016년 초 조사: "폭탄 작전"

"폭탄 작전"이라는 코드명 하에, Novetta가 주도하는 여러 보안 회사가 연합하여 다양한 사이버 보안 사건에서 발견된 악성 소프트웨어 샘플을 분석했습니다. 이 데이터를 활용하여 팀은 해커의 수법을 분석했습니다. 그들은 코드 재사용 패턴을 통해 Lazarus Group과 여러 공격을 연관시켰습니다. 예를 들어, 그들은 인터넷에서 잘 알려지지 않은 암호화 알고리즘인 "카라카스" 암호 알고리즘을 사용했습니다.

2016년 특정 은행 사이버 절도 사건

2016년 2월, 한 은행에서 절도 사건이 발생했습니다. 보안 해커는 국제 은행 금융 통신 협회(SWIFT) 네트워크를 통해 35개의 사기 지시를 발송하여 특정 국가 중앙은행의 뉴욕 연방준비은행 계좌에서 불법적으로 거의 10억 달러를 이체하려고 했습니다. 35개의 사기 지시 중 5개가 1억 1천만 달러를 성공적으로 이체했으며, 그 중 2000만 달러는 스리랑카로, 8100만 달러는 필리핀으로 흘러갔습니다. 뉴욕 연방준비은행은 한 지시의 철자 오류로 의심을 품고 나머지 30건의 거래를 차단했으며, 이 거래는 8억 5천만 달러에 달했습니다. 사이버 보안 전문가들은 이번 공격의 배후가 특정 국가의 Lazarus Group이라고 주장했습니다.

2017년 5월 "WannaCry" 랜섬웨어 공격

"WannaCry" 공격은 대규모 랜섬웨어 사이버 공격으로, 2017년 5월 12일 영국의 국가 의료 서비스(NHS)부터 보잉, 심지어 중국의 일부 대학에 이르기까지 전 세계 여러 기관이 영향을 받았습니다. 이 공격은 7시간 19분 동안 지속되었습니다. 유럽 경찰청은 이 공격이 150개국의 거의 20만 대의 컴퓨터에 영향을 미쳤다고 추정하며, 주요 피해 지역은 러시아, 인도, 우크라이나 및 대만 지역이었습니다. 이는 가장 초기의 암호화 웜 공격 중 하나입니다. 암호화 웜은 네트워크를 통해 컴퓨터 간에 전파될 수 있는 악성 소프트웨어로, 사용자가 직접 조작하지 않아도 감염됩니다. 이번 공격에서는 TCP 포트 445를 이용했습니다. 컴퓨터가 이 바이러스에 감염되려면 악성 링크를 클릭할 필요가 없으며, 악성 소프트웨어는 자동으로 전파되어 한 컴퓨터에서 연결된 프린터로, 다시 인근의 무선 네트워크에 연결된 다른 컴퓨터로 전파됩니다. 포트 445의 취약점은 악성 소프트웨어가 내부 네트워크에서 자유롭게 전파되어 수천 대의 컴퓨터를 신속하게 감염시킬 수 있게 했습니다. "WannaCry" 공격은 대규모로 암호화 웜을 사용하는 최초의 공격 중 하나입니다.

공격 방식: 이 바이러스는 Windows 운영 체제의 취약점을 이용하여 컴퓨터 데이터를 암호화하고, 약 300달러 가치의 비트코인을 지불하여 복호화 키를 얻도록 요구합니다. 피해자가 지불하도록 유도하기 위해, 3일 후에 몸값이 두 배로 증가하며, 일주일 이내에 지불하지 않으면 악성 소프트웨어가 암호화된 데이터 파일을 삭제합니다. 악성 소프트웨어는 마이크로소프트가 개발한 합법적인 소프트웨어인 "Windows Crypto"를 사용하여 파일을 암호화합니다. 암호화가 완료되면 파일 이름에 "Wincry"라는 접미사가 붙으며, 이것이 "WannaCry"라는 이름의 유래입니다. "Wincry"는 암호화의 기초이지만, 악성 소프트웨어는 "영원한 블루"(EternalBlue)와 "이중 맥박"(DoublePulsar)이라는 두 가지 취약점도 이용하여 암호화 웜이 되었습니다. "영원한 블루"는 네트워크를 통해 바이러스를 자동으로 전파하며, "이중 맥박"은 피해자의 컴퓨터에서 바이러스를 활성화합니다. 즉, "영원한 블루"는 감염된 링크를 당신의 컴퓨터로 전파하고, "이중 맥박"은 그것을 클릭하게 만듭니다.

보안 연구원 Marcus Hutchins는 한 보안 연구 회사의 친구로부터 이 바이러스 샘플을 받은 후, 바이러스에 하드코딩된 "안티바이러스 스위치"가 있어 이 공격을 중단시켰습니다. 이 악성 소프트웨어는 특정 도메인이 등록되었는지 정기적으로 확인하며, 해당 도메인이 존재하지 않을 때만 암호화 작업을 계속 진행합니다. 하치스는 이 확인 메커니즘을 발견하고, 협정 세계시 오후 3시 03분에 관련 도메인을 등록했습니다. 악성 소프트웨어는 즉시 전파를 중단하고 새로운 장치를 감염시키지 않았습니다. 이 상황은 매우 흥미롭고, 바이러스 제작자를 추적하는 단서를 제공했습니다. 일반적으로 악성 소프트웨어를 차단하는 데는 해커와 보안 전문가 간의 치열한 대결이 수개월 걸리지만, 이렇게 쉽게 이길 수 있다는 것은 예상치 못한 일이었습니다. 이번 공격에는 또 다른 비정상적인 점이 있었는데, 몸값을 지불한 후에도 파일을 복구할 수 없었습니다. 해커는 단 16만 달러의 몸값을 받았으며, 이는 많은 사람들이 그들의 목적이 돈이 아니라 혼란을 초래하는 것이라고 믿게 만들었습니다.

"안티바이러스 스위치"가 쉽게 해제되고 몸값 수익이 미미하다는 점은 많은 사람들이 이번 공격이 국가 지원을 받았다고 믿게 만들었습니다. 그들의 동기는 경제적 보상이 아니라 혼란을 일으키는 것이었습니다. 공격 발생 후 보안 전문가들은 "이중 맥박" 취약점이 미국 국가안보국에서 유래되었으며, 이 취약점은 원래 사이버 무기로 개발되었다고 추적했습니다. 이후 "그림자 중개인" 해커 그룹이 이 취약점을 훔쳐 먼저 경매를 시도했으나 실패하였고, 결국 무료로 공개했습니다. 미국 국가안보국은 이후 이 취약점 정보를 마이크로소프트에 전달하였고, 마이크로소프트는 2017년 3월 14일 업데이트를 발표했습니다. 이는 공격 발생 한 달도 채 되지 않은 시점이었습니다. 그러나 이것만으로는 충분하지 않았습니다. 업데이트가 강제 설치가 아니었기 때문에, 5월 12일 기준으로 해당 취약점이 있는 대부분의 컴퓨터는 여전히 수정되지 않았고, 이로 인해 이번 공격은 엄청난 피해를 초래했습니다.

후속 영향: 미국 법무부와 영국 당국은 나중에 "WannaCry" 공격이 북한 해커 조직 Lazarus Group의 소행이라고 결론지었습니다.

2017년 암호화폐 공격 사건

2018년, Recorded Future는 보고서를 발표하며 Lazarus Group이 암호화폐 비트코인 및 모네로 사용자에 대한 공격과 관련이 있다고 밝혔으며, 이러한 공격은 주로 한국 사용자를 겨냥했습니다. 보도에 따르면, 이 공격은 기술적으로 이전에 "WannaCry" 랜섬웨어 공격 및 소니 픽처스 공격에서 사용된 공격과 유사합니다. Lazarus Group 해커가 사용하는 수단 중 하나는 한국어 처리 소프트웨어인 한글(한컴에서 개발)의 취약점을 이용하는 것이었습니다. 또 다른 수단은 악성 소프트웨어가 포함된 피싱 유인책을 보내는 것으로, 한국 학생들과 Coinlink와 같은 암호화폐 거래 플랫폼 사용자를 목표로 했습니다.

사용자가 악성 소프트웨어를 열면, 그들의 이메일 주소와 비밀번호가 도난당합니다. Coinlink는 자사 웹사이트나 사용자의 이메일 주소 및 비밀번호가 해킹당한 적이 없다고 부인했습니다. 보고서는 다음과 같이 요약합니다: "2017년 말의 이 일련의 공격은 특정 국가가 암호화폐에 대한 관심이 증가하고 있음을 보여줍니다. 현재 우리는 이 관심이 채굴, 랜섬웨어 공격 및 직접 도난 등 광범위한 활동을 포함하고 있음을 알고 있습니다…" 보고서는 또한 특정 국가가 이러한 암호화폐 공격을 통해 국제 금융 제재를 회피하고 있다고 지적했습니다.

2017년 2월, 특정 국가의 해커가 한국 암호화폐 거래소 Bithumb에서 700만 달러를 훔쳤습니다. 또 다른 한국 비트코인 거래소인 Youbit은 2017년 4월 공격을 받은 후, 같은 해 12월에 17%의 자산이 도난당해 파산 신청을 해야 했습니다. Lazarus Group과 특정 국가의 해커가 이러한 공격의 배후로 지목되었습니다. 2017년 12월, 암호화폐 클라우드 채굴 시장인 Nicehash는 4500개 이상의 비트코인을 잃었습니다. 조사 업데이트에 따르면, 이번 공격은 Lazarus Group과 관련이 있었습니다.

2019년 9월 공격 사건

2019년 9월 중순, 미국은 "ElectricFish"라는 새로운 악성 소프트웨어를 발견했다는 공개 경고를 발표했습니다. 2019년 초부터 특정 국가의 요원들이 전 세계에서 5건의 주요 사이버 절도를 수행했으며, 그 중에는 쿠웨이트의 한 기관에서 4900만 달러를 훔친 사건이 포함되어 있습니다.

2020년 말 제약 회사 공격 사건

코로나19 팬데믹이 지속됨에 따라 제약 회사가 Lazarus Group의 주요 목표가 되었습니다. Lazarus Group의 구성원들은 피싱 기술을 이용하여 보건 당국으로 가장하여 제약 회사 직원들에게 악성 링크를 보냈습니다. 여러 대형 제약 기업이 공격의 목표가 된 것으로 추정되지만, 현재 확인된 것은 아스트라제네카와 영국-스웨덴 합작 기업뿐입니다. 로이터 통신에 따르면, 많은 직원들이 공격의 대상이 되었으며, 그 중 상당수는 코로나19 백신 개발에 참여한 인원입니다. Lazarus Group이 이러한 공격을 감행한 목적은 불분명하지만, 민감한 정보를 훔치거나, 갈취 계획을 실행하거나, 외국 정부가 코로나19와 관련된 독점 연구 결과를 얻도록 하는 것일 수 있습니다. 아스트라제네카는 이번 사건에 대한 논평을 하지 않았으며, 전문가들은 현재 민감한 데이터 유출이 없다고 보고하고 있습니다.

2021년 1월 사이버 보안 연구원 대상 공격 사건

2021년 1월, 구글과 마이크로소프트는 모두 특정 국가의 해커 그룹이 사회 공학 기법을 통해 사이버 보안 연구원들을 공격했다고 공개 보고했습니다. 마이크로소프트는 이 공격이 Lazarus Group에 의해 수행되었다고 명시했습니다.

해커들은 Twitter, GitHub 및 LinkedIn과 같은 플랫폼에서 여러 사용자 프로필을 생성하여 합법적인 소프트웨어 취약점 연구원으로 가장하고, 보안 연구 커뮤니티의 다른 사람들과 게시물 및 콘텐츠에 상호작용했습니다. 그런 다음 그들은 특정 보안 연구원에게 직접 연락하여 협력 연구를 이유로 피해자를 유인하여 악성 소프트웨어가 포함된 파일을 다운로드하거나 해커가 제어하는 웹사이트의 블로그 게시물을 방문하도록 유도했습니다.

블로그 게시물을 방문한 일부 피해자들은 완전히 패치가 설치된 구글 크롬 브라우저를 사용했음에도 불구하고 컴퓨터가 감염되었다고 주장했으며, 이는 해커가 이전에 알려지지 않은 크롬 제로데이 취약점을 이용했음을 나타냅니다. 그러나 구글은 보고서 발표 시점에 구체적인 침입 방법을 확인할 수 없다고 밝혔습니다.

2022년 3월 체인 게임 Axie Infinity 공격 사건

2022년 3월, Lazarus Group가 Axie Infinity 게임에서 사용되는 Ronin 네트워크에서 6억 2000만 달러의 암호화폐를 훔쳤다는 혐의를 받았습니다. 연방 수사국(FBI)은 "조사를 통해 우리는 Lazarus Group과 APT38(북한과 연관된 사이버 행위자)가 이번 절도의 배후라는 것을 확인했습니다."라고 밝혔습니다.

2022년 6월 Horizon Bridge 공격 사건

연방 수사국은 북한의 악의적인 사이버 행위자 조직인 Lazarus Group(또는 APT38)이 2022년 6월 24일 보도된 Harmony의 Horizon Bridge에서 1억 달러의 가상 화폐를 훔친 사건의 배후라고 확인했습니다.

2023년 기타 관련 암호화폐 공격 사건

블록체인 보안 플랫폼 Immunefi의 보고서에 따르면, Lazarus Group은 2023년의 암호화폐 해킹 사건에서 3억 달러 이상의 손실을 초래했으며, 이는 그 해 총 손실의 17.6%에 해당합니다.

2023년 6월 Atomic Wallet 공격 사건: 2023년 6월, Atomic Wallet 서비스의 사용자들이 1억 달러 이상의 암호화폐를 도난당했으며, 연방 수사국은 이후 이 사건을 확인했습니다.

2023년 9월 Stake.com 해킹 사건: 2023년 9월, 연방 수사국은 온라인 카지노 및 베팅 플랫폼 Stake.com에서 4100만 달러의 암호화폐가 도난당했으며, 범인은 Lazarus Group이라고 확인했습니다.

미국 제재 조치

2022년 4월 14일, 미국 재무부 해외 자산 통제 사무소(OFAC)는 특정 국가 제재 규정 제510.214조에 따라 Lazarus Group을 특별 지정 국민 목록(SDN List)에 올렸습니다.

2024년 암호화폐 공격 사건

인도 언론에 따르면, 현지의 WazirX라는 암호화폐 거래소가 이 조직의 공격을 받아 2억 3490만 달러의 암호 자산이 도난당했습니다.

인력 양성

전해지는 바에 따르면, 일부 북한 해커들은 중국 심양으로 파견되어 전문 교육을 받으며, 다양한 악성 소프트웨어를 컴퓨터, 컴퓨터 네트워크 및 서버에 심는 방법을 배웁니다. 북한 내부에서는 금책 산업 종합 대학교, 김일성 종합 대학교 및 만경대 대학이 관련 교육을 담당하며, 이들 대학은 전국에서 가장 우수한 학생들을 선발하여 6년간의 특별 교육을 받도록 합니다. 대학 교육 외에도 "가장 우수한 프로그래머 중 일부는 만경대 대학이나 미림学院에서 심화 교육을 받습니다."

조직 분파

Lazarus Group는 두 개의 분파가 있는 것으로 여겨집니다.

BlueNorOff

BlueNorOff(또는 APT38, "별천리마", "BeagleBoyz", "NICKEL GLADSTONE")는 경제적 이익에 의해 움직이는 조직으로, 국제 은행 금융 통신 협회(SWIFT) 지시를 위조하여 불법 자금 이체를 수행합니다. Mandiant는 이를 APT38로, Crowdstrike는 "별천리마"로 지칭합니다.

미국 육군의 2020년 보고서에 따르면, BlueNorOff는 약 1700명의 구성원으로, 적의 네트워크 취약점과 시스템을 장기적으로 평가하고 활용하여 금융 사이버 범죄 활동을 수행하며, 해당 국가 정권에 경제적 이익이나 관련 시스템의 통제를 제공합니다. 2014년부터 2021년까지 그들의 목표에는 최소 13개 국가의 16개 기관이 포함되며, 이들 국가에는 방글라데시, 칠레, 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키 및 베트남 등이 있습니다. 이들은 불법적으로 얻은 수익이 해당 국가의 미사일 및 핵 기술 개발에 사용된 것으로 추정됩니다.

BlueNorOff의 가장 악명 높은 공격은 2016년의 특정 은행 절도 사건으로, 그들은 SWIFT 네트워크를 통해 특정 국가 중앙은행의 뉴욕 연방준비은행 계좌에서 불법적으로 거의 10억 달러를 이체하려고 시도했습니다. 일부 거래가 성공적으로 완료된 후(2000만 달러가 스리랑카로, 8100만 달러가 필리핀으로 흘러갔습니다), 뉴욕 연방준비은행은 한 지시의 철자 오류로 의심을 품고 나머지 거래를 차단했습니다.

BlueNorOff와 관련된 악성 소프트웨어에는 "DarkComet", "Mimikatz", "Nestegg", "Macktruck", "WannaCry", "Whiteout", "Quickcafe", "Rawhide", "Smoothride", "TightVNC", "Sorrybrute", "Keylime", "Snapshot", "Mapmaker", "net.exe", "sysmon", "Bootwreck", "Cleantoad", "Closeshave", "Dyepack", "Hermes", "Twopence", "Electricfish", "Powerratankba" 및 "Powerspritz" 등이 있습니다.

BlueNorOff가 자주 사용하는 수단에는 피싱, 백도어 설정, 취약점 공격, 수렁 공격, 구식이고 안전하지 않은 Apache Struts 2 버전을 이용한 시스템 코드 실행, 전략적 웹사이트 침투 및 Linux 서버 접근 등이 포함됩니다. 보도에 따르면, 그들은 때때로 범죄 해커와 협력하기도 합니다.

AndAriel

AndAriel(또는 Andarial, "침묵의 천리마", "어두운 서울", "라이플", "와손니트"라는 별칭도 있음)은 논리적으로 한국을 공격 목표로 삼는 특징이 있습니다. AndAriel의 별칭 "침묵의 천리마"는 이 조직의 비밀스러운 행동 특성에서 유래되었습니다. 한국의 모든 기관은 AndAriel의 공격 대상이 될 수 있으며, 목표에는 정부 부처, 국방 기관 및 다양한 경제적 상징적 실체가 포함됩니다.

미국 육군의 2020년 보고서에 따르면, AndAriel 조직은 약 1600명의 구성원으로, 그들의 임무는 정찰, 네트워크 취약점 평가 및 적의 네트워크 지도를 작성하여 잠재적 공격을 수행하는 것입니다. 한국 외에도 그들은 다른 국가의 정부, 인프라 및 기업을 공격 목표로 삼고 있습니다. 공격 수단에는 ActiveX 컨트롤, 한국 소프트웨어 취약점, 수렁 공격, 피싱(매크로 바이러스 방식), IT 관리 제품(예: 안티바이러스 소프트웨어, 프로젝트 관리 소프트웨어) 공격 및 공급망(설치 프로그램 및 업데이트 프로그램)을 통한 공격이 포함됩니다. 사용된 악성 소프트웨어에는 "아리안"(Aryan), "회색 비둘기 원격 제어 트로이 목마"(Gh0st RAT), "Rifdoor", "Phandoor" 및 "안다랏"(Andarat) 등이 있습니다.

관련 인물 기소 상황

2021년 2월, 미국 법무부는 북한 군 정보 기관인 정찰총국의 세 명의 구성원인 박진혁, 전창혁 및 김일박을 기소하며 그들이 Lazarus Group의 여러 해킹 공격 활동에 참여했다고 주장했습니다. 박진혁은 2018년 9월에 이미 기소되었습니다. 이들 용의자는 현재 미국에 구금되어 있지 않습니다. 또한, 한 캐나다인과 두 명의 중국인도 Lazarus Group의 자금 운반자 및 세탁자로 지목되었습니다.