קבוצת הסייבר הצפון קוריאנית לזרוס מסווה ריגול של מדינת לאום כמתקפות כופרה למטרות איסוף מידע על חברות ייצור אנרגיה וחברות בתחום שירותי הבריאות. WithSecure – אנליסטים של מודיעין סייבר, גילו את מסע מתקפות הסייבר תוך כדי חקירת תקרית של לקוח אשר חשד שהוא עובר מתקפת כופרה. לאחר חקירה מעמיקה נמצאו ראיות לכך שמתקפת הכופרה הייתה למעשה חלק ממסע איסוף מודיעין רחב יותר בחסות צפון קוריאה. סמי רוהונן – חוקר מודיעין איומים בכיר ב- WithSecure ציין כי בתחילה היה חשד לניסיון מתקפת כופרה, אולם ככל שנאספו ראיות התברר שהמתקפה בוצעה על ידי קבוצה הקשורה לממשלת צפון קוריאה, מה שהוביל בסופו של דבר להסיק בביטחון שמדובר בקבוצת לזרוס.
הריגול התעשייתי החל בכך שההאקרים הצפון קוריאנים ניצלו נקודות תורפה בשרת דואר אליו פרצו ומתוכו גנבו נפח מידע עצום אשר נכלל בתיבות הדואר. במשך חודשים נעו ההאקרים על פני רשת המחשוב עד שהגיעו אל תשתית השליטה והבקרה ואז גנבו כ- 100GB של נתונים מהרשת.
חוקרי הסייבר ב- WithSecure טוענים שיש להם מידה גבוהה של ביטחון שהפעילות תואמת את אופן הפעולה של קבוצת לזרוס בהתבסס על הנוזקה בה השתמשו, ה- TTPs ומספר ממצאים הכוללים פעולת מפתח אחת במהלך חילוץ הנתונים וגניבת המידע. הם גילו מעטפת רשת הנשלטת על ידי ההאקרים אשר התחברה לזמן קצר לכתובת IP השייכת לצפון קוריאה אשר לה פחות מאלף כתובות כאלו. בתחילה תהו החוקרים אם מדובר בטעות אשר התבררה לבסוף כאמת.
ככל שהתקדמה חקירת הסייבר של WithSecure זוהו קורבנות נוספים של המתקפה, מה שמרמז על מאמץ רחב בהרבה ממה שנחשד במקור, בהתאם למניעי הריגול. בין הקורבנות נכללות חברת מחקר בתחום הבריאות, יצרן טכנולוגיה המשמשת בענפי אנרגיה, מחקר, הגנה ובריאות וכן, מחלקה להנדסה כימית באוניברסיטה מובילה.
לזרוס היא קבוצת סייבר ותיקה אשר ככל הנראה מנוהלת על ידי לשכת המודיעין של צפון קוריאה. חוקרי סייבר זיהו פעילות של הקבוצה עוד בשנת 2009, עם מתקפות עקביות לאורך השנים. המניעים למתקפות הסייבר והריגול התעשייתי הם גם כספיים – מחולל הכנסות חשוב למשטר וגם קשורים לריגול. בשנת 2022, הופיעו דיווחים רבים על מתקפות מתקדמות של לזרוס שכללו התמקדות בשבב M1 של אפל. במתקפת סייבר דומה באפריל 2022 שלחה לזרוס קבצים זדוניים למטרות במגזר הכימיקלים וה- IT, כשהם מוסווים כהצעות עבודה למשרות אטרקטיביות במיוחד. בשבוע שעבר אישר ה- FBI שקבוצת לזרוס הינה האחראית לגניבה של 100 מיליון דולר ביוני 2022 של מטבע וירטואלי ממערכת של חברת הבלוקצ'יין Harmony, הנקראת Horizon Bridge. חוקרי ה- FBI מדווחים כי הקבוצה השתמשה בפרוטוקול הפרטיות של Railgun מוקדם יותר בינואר כדי להלבין את'ריום בשווי של יותר מ- 60 מיליון דולר שנגנב בשוד Horizon Bridge.
