Wat is de Lazarus groep? Het is de internationale hackersorganisatie zonder een gezicht die nu ook de aandacht op cryptocurrency heeft gericht.
"2 BTC: It’s a small price for what will happen if you’re network is down. Will it be worth it? You decide!" Deze dreigende boodschap ontvingen in juni 2021 diverse bedrijven in Canada, US en Europa in hun mailbox. Afzender: Fanzy Lazarus, vermoedelijk onderdeel van de Lazarus groep aka de gevaarlijkste cybercrime organisatie zonder gezicht.
De bank van Bangladesh, farmaceutisch bedrijf AstraZenica, multimedia bedrijf Sony en zelfs het Nederlandse ministerie van binnenlandse zaken behoren tot de veelzijdige lijst van bedrijven of organisaties die al kennis heeft gemaakt met deze groep. De methodes van aanvallen zijn divers, de schade loopt vaak in de miljoenen. En er zijn aanwijzingen dat cryptocurrency het volgende grote doelwit wordt van deze groep.
Hoog tijd om een antwoord te vinden op de vragen: Wat is de hackersgroep Lazarus en wat is hun relatie tot de crypto wereld?
Bekijk snel
Hier kun je een korte uitleg bekijken van cybersecurity expert Kaspersky over Lazarus:
Hoe is de Lazarus groep begonnen?
We gaan even terug naar 2007, of laten we zeggen 2 jaar B.BTC (Before Bitcoin voor crypto historici). Satoshi Nakamoto, schrijver van de befaamde Bitcoin whitepaper die in 2009 gepubliceerd werd, had wellicht alleen nog een vaag idee over hoe een Bitcoin (BTC) eruit zou moeten zien. Maar de internetwereld was al volwassen en de kennis en kunde van hackers was groeiende.
In 2007 werd toen al, vermoedelijk, de eerste aanval uitgevoerd door de Lazarus groep. "Vermoedelijk" omdat er alleen aanwijzingen zijn gevonden dat het om dezelfde organisatie gaat, geen bewijzen. Verschillende bedrijven en instanties in Zuid-Korea waren het eerste slachtoffer van deze DDos aanval. De eerste keer dat de groep als dader werd aangewezen was voor “Operation Troy” die bestond uit verschillende aanvallen tussen 2009 en 2012. De regering van Zuid-Korea was het doelwit.
De aanval op Sony in 2014 was waarmee de groep internationale bekendheid kreeg en waardoor men wereldwijd doorkreeg dat dit wel eens een serieus globaal probleem kan worden. De groep wist toen belangrijke data van het bedrijf te stelen en lekte dit stapsgewijs uit. De "Guardians Of Peace" zouden doorgaan tot de film "The Interview" van comedian Seth Rogen geschrapt zou worden. De film ging over een interview met de Noord-Koraanse leider. Uiteindelijk is de film alleen via stream uitgebracht.
In 2016 vond één van de spectaculairste acties plaats van de Lazarus groep tot nu toe. De federale bank van New York kreeg 35 transactieopdrachten binnen vanuit de Bank van Bangladesh. Deze verzoeken waren uiteraard vals. 101 miljoen USD werd op deze manier buitgemaakt. 20 miljoen is getraceerd in Sri Lanka en 81 miljoen in de Filipijnen. De federale bank blokkeerde echter 30 van de 35 transacties en wist zo de roof van nog eens 850 miljoen USD te voorkomen.
Wie is de Lazarus groep? Een profielschets
Wie behoren tot de Lazarus groep en wat is het doel van hun aanvallen? Het zijn de vragen die een CIA of Interpol zichzelf stelt om een profielschets van de dader te maken. Hoewel het lijkt op een klopjacht naar een geest die in verschillende vormen opduikt en verdwijnt, is er door de jaren heen wel wat meer bekend geworden over deze organisatie.
Connecties met Noord-Korea
De media en onderzoekers zijn het er in het algemeen over eens dat er een connectie is met Noord-Korea. Deze theorie is onder andere gebaseerd op doelwitten die de hackersgroep had door de jaren heen. Zuid-Korea heeft diverse aanvallen ondervonden en doel van veel aanvallen was spionage gerelateerd. Daarnaast zijn er ook veel aanvallen in de US geweest. Ook de eisen tijdens de aanval op Sony, het verbieden van een satire over de grote Noord-Koreaanse leider, doen vermoeden dat Noord-Korea een rol speelt in de Lazarus groep.
Verder heeft in 2017 software beveiligingsexpert Kapersky Lab bij één van de aanvallen die aan een onderdeel van de Lazarus groep is toegeschreven een link ontdekt naar een ip-adres in Noord-Korea. Hoewel dit met opzet een misleidend spoor geweest kan zijn, is bij een andere grote aanval, de WannaCry attack, dezelfde codering als van de eerdere aanval in 2017 gevonden. Deze aanvallen worden onomstotelijk aan de Lazarus groep toegewezen en daarmee is het bestaan van een link tussen Noord-Korea en de groep aannemelijk gemaakt.
Wat is het doel van de Lazurus groep?
Door de jaren heen heeft de groep verschillende doelen gehad, maar de buit valt eigenlijk in twee woorden samen te vatten: data en geld. De data die gestolen wordt wijst er ook op dat dit voor de regering van Noord-Korea bruikbaar kan zijn. Zo werd in 2020 AstraZenica, farmaceutische bedrijf en ontwikkelaar van een Covid-19 vaccin, aangevallen. Geen data werd buit gemaakt. Maar experts zien aan de aanvallen dat de daders uit waren op gevoelige informatie die voor chantage kon worden gebruikt, en informatie over het onderzoek over Covid-19.
Aanvankelijk waren de aanvallen alleen gericht op het stelen van data. Sinds 2015 werd het stelen of verkrijgen van valuta steeds belangrijker. Met onder andere de aanval op de bank van Bangladesh heeft de Lazarus groep hun activiteiten blijkbaar uitgebreid.
Aanvalstechnieken
Wat zijn de manieren waarop de Lazarus groep te werk gaat? De Lazarus groep heeft door de jaren heen diverse technieken toegepast. Voor een aanval wordt vaak malware gebruikt, malicious of kwaadaardige software die wordt geïmplementeerd in een computersysteem. Doel is het systeem te ontwrichten of data of valuta te stelen.
DDos aanvallen
De aanvallen uit beginjaren van Lazarus lijken in vergelijking met geavanceerde aanvallen en technieken van later, een beetje een "botte bijl" methode. Alsof je onkruid in je gazon gaat verwijderen met een bommenwerper. Je bereikt het doel: het onkruid is weg. Maar de manier waarop is wel wat rigoreus. Bij een DDos aanval, Distributed Denial Of Service aanval, wordt het netwerk van een dienst of site onbereikbaar. Dit komt doordat deze overbelast wordt, door een massale toevoer van berichten en mails.
Spear Phishing
Dit is een techniek die werkt door middel van e-mails. Lazarus gebruikt deze techniek om achter gegevens te komen van medewerkers van grote bedrijven om zo verder in de systemen te dringen en data te stelen of het systeem te ontregelen. De aanval op AstraZenica is een voorbeeld ven een spear phishing aanval. Er kan via de mails om losgeld gevraagd worden. Of er kan geprobeerd worden, doordat mensen de mail nietsvermoedend openen, via deze mail toegang te creëren tot bestanden van het bedrijf.
Computerwormen
Computerwormen zijn schadelijke programma’s die zichzelf kunnen besturen en activeren. Ze kunnen zichzelf kopiëren en zich zo verspreiden over je computersysteem. Dit lijkt op een virus maar deze worden door een bestand aangestuurd, wormen zijn zelfsturend. Bij de WannaCry Ransomware aanval in 2017 was het een worm die zorgde voor een wereldwijde aanval.
Ransomware
Hierbij worden delen van een site of data in gijzeling genomen en geblokkeerd voor bezoekers en gebruikers. De blokkade wordt pas opgeheven na een losgeld betaling.
Zonder gezicht
Anonimiteit en rookgordijnen zijn voor de Lazarus groep van groot belang om niet gepakt te worden. Een handige website met een company profile en facebook foto’s van een gezellig bedrijfsbarbeque kom je uiteraard niet tegen van deze organisatie.
Het is dus niet altijd met zekerheid te zeggen of elke aanval de Lazarus groep is. In sommige aanvallen worden deze opgeëist. Dit is dan om geld te eisen, maar zelden wordt dezelfde naam gebruikt. De groep zoekt ook nooit zelf de media op om uitleg te geven. Hierdoor is het dan ook niet waarschijnlijk dat de groep vanuit ideologisch of activistische idealen handelt.
Bewijs dat aanvallen vanuit dezelfde organisatie worden georganiseerd, blijkt vaak uit de werkwijze en malware die gebruikt worden. Cybersecurity experts zien patronen of codering die overeenkomen. Het is een beetje vergelijkbaar met een vingerafdruk van een crimineel die gevonden wordt op 2 plaatsen delict.
De mensen achter deze organisatie blijven de grote onbekende, maar de organisatie zelf is bekend onder vele namen. De verschillende namen die al met de Lazarus group gelinkt zijn onder andere: Guardians of Peace, Hidden Cobra, NewRomanic Cyber Army Team. Namen worden niet altijd zelf uitgeroepen, maar ook door onderzoekers van onderzoeksteams gegeven. De naam Lazarus refereert waarschijnlijk naar een bijbelse naam die betekent “God heeft geholpen.” Lazarus was ook een figuur in de verhalen over Jezus die uit de dood was opgewekt door Jesus.
Decentraal organiseren lijkt de Lazarus groep ook op het lijf geschreven. Apt 29 "Cozy Bear" of Fancy Lazarus worden gelinkt aan Lazarus en hebben ook weer connecties met de Russische intelligence diensten. Er zijn binnen de Lazarus groep inmiddels twee belangrijke units te onderscheiden:
BlueNorOff
Deze tak houdt zich voornamelijk bezig met geld gerelateerde aanvallen. APT38 en Stardust Cholllima zijn namen die door cybersecurity aan deze tak gegeven zijn. Chollima is een paard uit Chinees/Koreaanse mythologie wat duizend kilometer in een dag kon reizen. Chollima people zijn mensen met superkrachten.
AndAriel
Deze tak richt zich vooral op Zuid-Korea. Hier zijn al verschillende bedrijven en organisaties slachtoffer geworden van de aanvallen. Deze groep wordt ook wel Silent Chollima genoemd. Defensie, financiële organisaties en overheid zijn onder andere al aangevallen door deze groep.
Most wanted & mostly unknown
Er zijn door de jaren heen zijn maar een enkele keer personen van de organisatie gelinkt. In 2018 was dit Park Yon Hyok en in februari 2021 Jin Hyok en Jon Chang Hyok. Dit zijn 3 Noord-Koreanen. Zij worden door de FBI gezocht voor het deelnemen aan “The Rennaissance General Bureau,” een Noord-Koreaanse spionage agency, die ook gelinkt is aan de Lazarus group. Verder zijn een Canadees en twee Chinezen gezocht voor het witwassen en geld transporteren van de Lazarus groep. De groep weet echter goed zijn anonimiteit te behouden.
Lazarus group & cryptocurrency
Uiteraard is de cryptowereld ook niet onbekend met deze wijdverspreide organisatie. Allereerst wordt Bitcoin sinds de laatste jaren bij chantage praktijken of datagijseling vaak als betaalmiddel gevraagd. Het vragen om een betaling in Bitcoin (BTC) heeft als voordeel dat de betaling anoniem gedaan en ontvangen kan worden. Het heeft ten opzichte van cash als voordeel dat je alles online kan regelen en niet fysiek ergens het geld moet aannemen. Hierdoor is het lastiger traceerbaar. Bitcoin transacties zijn natuurlijk wel altijd transparant en staan vast opgeslagen in de blocks van een blockchain. De transactie zelf is dus altijd verifieerbaar.
Aanvallen op crypto exchanges
Cryptocurreny zijn zelf ook niet onberoerd gebleven van een aanval van de Lazarus groep. Crypto bleek na verloop van tijd voor de groep ook een interessante waardevolle buit. Je zou de belangstelling van een groep als deze ook als een ongewenste vorm van acceptatie van de cryptocurrency kunnen zien. Naast de institutionele gebruikers die Bitcoin en andere cryptocurrency steeds meer accepteren, ziet ook de criminele wereld hier het voordeel van in.
Cybersecurity expert Recorded Future noemt in een rapport in 2018 over deze cryptocurrency roven de mogelijkheid dat Noord Korea deze cryptocurrency gebruikt om internationale sancties te omzeilen.
In 2017 vinden de eerste aanvallen plaats waarbij cryptocurrency wordt buitgemaakt. De malware die gebruikt wordt bij deze aanval heeft veel overeenkomsten met die van de WannaCry aanvallen en de aanval op Sony. De hackers maakten gebruik van zwakke plekken in Hancom's Hangul, een software programma voor Word processing, wat in Zuid-Korea veel gebruikt wordt.
Verder was er een aanval met spear phishing mails. Zuid-Koreaanse bezitters van Bitcoin en Monero (XMR) werden doelwit, veelal gebruikers van Coinlink. Met name studenten werden door middel van mails benaderd die na opening van deze mail inloggegevens stal. Coinlink heeft echter laten weten dat er niets is buitgemaakt.
Andere aanvallen op gebruikers van de Zuid-Koreaanse exchanges Bithumb en Youbit waren succesvoller. Bij Bithumb werd 7 miljoen USD aan cryptocurreny buit gemaakt. Youbit moest faillissement aanvragen nadat 17% van de assets op het platform was ontvreemd. Bij Nicehash, een mining marktplaats, werd 4500 Bitcoin buitgemaakt.
Een nieuwe bedreiging: Lazarus BTC Changer
Cryptocurrency hebben zeker de belangstelling van de beruchte hackersgroep en de groep is bezig met nieuwe roofmethodes voor het ontvreemden van cryptocurrency. In 2020 bracht de Nederlandse security expert Sansec een rapport uit over de beroving van een aantal e-commerce zaken. Ze troffen de digital skimming techniek magecart, om creditcard gegevens te ontvreemden, aan. Dit werd bij de sites van een aantal winkelketens, onder andere een juwelier en kledingmerk, geïnstalleerd.
Sansec kwam erachter dat de groep ook aan het experimenteren was met het digitaal beroven van crypto via e-commerce zaken. Security agency Group IB onderzocht verder de verschillende zaken. Men ontdekte malware die gebruikt kan worden voor het stelen van cryptocurrency. Er werd hiervoor een combinatie van magecart en een gemodificeerde versie van Javascript sniffers (JS sniffers) gebruikt.
JS Sniffers zijn een kwaardaardige JavaScript codering die het mogelijk maakt betaalgegevens te ontvreemden bij e-commerce bedrijven. Door het gebruik van deze sniffers was de link ook gemaakt tussen Lazarus en deze zaken. Het inzetten van deze technologie voor het ontvreemden van cryptocurrency is nieuw. Lazarus lijkt nu dus te experimenteren met de mogelijkheden om deze sniffers voor het ontvreemden van cryptocurrency te gebruiken.
De aanval is door Group IB als "Lazarus BTC Changer" betiteld. Er werden maar een klein bedragen buitgemaakt: 9000 USD aan ETH en 8400 USD aan Bitcoin. Dit wijst er des temeer op dat de aanval een soort testrun was. De security experts wisten de cryptocurrency te volgen naar een aantal wallets die verbonden waren aan crypto exchange CoinPayments. Lazarus gebruikte wellicht deze exchange site om cryptocurrency weg te sluizen en wit te wassen.
Conclusie
Group IB verwacht na aanleiding van de bevindingen dat Lazarus zich nu ook meer gaat richten op de cryptocurrency. Ook in de cybercriminaliteit vindt acceptatie van cryptocurrency dus steeds meer plaats. Nu meer e-commerce bedrijven betaling in cryptocurrency accepteren, biedt dit met JS sniffers nieuwe mogelijkheden. Volgens Group IB en meerdere analisten is de ontdekte roof een testrun geweest. Het vermoeden is dat we wellicht binnenkort een campagne van grotere omvang kunnen verwachten.
De Lazarus groep is de bekendste hackers organisatie waarover maar zeer weinig bekend is, alleen dat hun aanvalstechnieken veelzijdig en effectief zijn. Deze bijna onzichtbare groep lijkt nu de focus op cryptocurrency te leggen.
Heb je vragen over deze hackersorganisatie en/of crypto? Of wil je meer weten over de beveiliging van je crypto? Meld je aan bij onze AllesOverCrytpo Facebookgroep en we praten daar graag verder!