Lazarus APT
Le groupe Lazarus, également connu sous le nom de Whois Team ou Guardians of Peace, est un groupe de cybercriminels composé d'un nombre indéterminé d'individus. Ils étaient initialement un groupe de criminels, mais en raison de leur nature, de leurs méthodes et de leur menace sur le Web, ils ont été classés comme une menace persistante avancée. La communauté de la cybersécurité les a sous d'autres noms, tels que Zinc et HIDDEN COBRA .
L'opération Troy, qui a eu lieu entre 2009 et 2012. La campagne s'est concentrée sur une attaque par déni de service distribué (DDoS) qui a pris des coups de feu sur le gouvernement sud-coréen à Séoul. Ils étaient responsables d'attaques en 2011 et 2013, peut-être aussi une attaque contre la Corée du Sud en 2007. Ils auraient été impliqués dans l'attaque de 2014 contre Sony Pictures, montrant une sophistication et une compétence croissantes dans leurs méthodes.
L'APT Lazarus a également été impliqué dans le vol de 12 millions de dollars à la Banco del Austro en Équateur et de 1 million de dollars à la Banque Tien Phong au Vietnam. Le groupe a également ciblé des banques au Mexique et en Pologne, au Bangladesh et à Taiwan.
On ne sait pas qui se tient derrière le groupe, mais leur choix de cibles a conduit la communauté de sécurité à soupçonner qu'ils étaient probablement d'origine nord-coréenne. L'APT Lazarus s'est concentré sur les attaques d'espionnage et d'infiltration, tandis qu'un autre groupe au sein de leur organisation se concentrait sur les cyberattaques financières. Un lien d'adresse IP direct et répété a été établi entre cette partie de l'organisation et la Corée du Nord, bien que certains chercheurs aient estimé que cela pourrait être une tactique trompeuse pour faire dérailler les enquêtes.
On pense que l'APT Lazarus a deux unités au sein de la structure de l'organisation:
BlueNorOff
C'est le bras financier du groupe responsable des transferts d'argent illégaux, le plus souvent par le biais de faux ordres de Swift. Ils ont également été nommés APT38 et Stardust Chollima par d'autres sociétés et organisations de cybersécurité.
AndAriel
Connu pour ses attaques ciblant des cibles sud-coréennes, AndAriel est également surnommé Silent Chollima en raison de sa nature plus secrète et discrète, par rapport à son homologue bancaire en matière de cybercriminalité. Les organisations en Corée du Sud ont souvent été ciblées dans l'histoire de l'APT Lazarus, la défense, le gouvernement et les objectifs économiques étant leur objectif principal.