Die nordkoreanische Hackergruppe Lazarus, auch bekannt als Guardians of Peace oder Whois Team, wird für zahlreiche Cyberangriffe und Kryptowährungsdiebstähle verantwortlich gemacht, darunter der Angriff auf die Plattform Bybit und den Diebstahl von Millionen von Atomic Wallet. Die Gruppe gilt als hochentwickelte Bedrohung und wird vom US-Justizministerium mit dem nordkoreanischen Staat in Verbindung gebracht, der die Cyberangriffe nutzt, um Sanktionen zu umgehen und illegale Einnahmen zu generieren. Ihre Aktivitäten reichen von DDoS-Angriffen über den Sony Pictures Hack bis hin zu komplexen Finanzdiebstählen und belaufen sich auf über 2 Milliarden US-Dollar an gestohlenen digitalen Vermögenswerten.
Die Lazarus-Gruppe, eine nordkoreanische Hackergruppe, die auch unter den Namen Guardians of Peace oder Whois Team bekannt ist (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group), steht unter dringendem Verdacht, hinter einer Reihe von Cyberangriffen zu stecken, darunter der jüngste Angriff auf die Kryptowährungsplattform Bybit (Cryptopolitan: https://www.cryptopolitan.com/north-koreas-lazarus-group-exposed-as-the-group-behind-bybit-hack/). Seit 2010 wird die Gruppe mit zahlreichen Cybervorfällen in Verbindung gebracht und gilt aufgrund ihrer weitreichenden Ziele, der anhaltenden Bedrohungslage und der vielfältigen Angriffsmethoden als fortgeschrittene, andauernde Bedrohung (Advanced Persistent Threat).
Es wird angenommen, dass die Lazarus-Gruppe eng mit dem nordkoreanischen Staat verbunden ist. Das US-Justizministerium (justice.gov: https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and) beschuldigt die Gruppe, Teil der nordkoreanischen Strategie zu sein, die globale Cybersicherheit zu untergraben und illegale Einnahmen zu generieren, um internationale Sanktionen zu umgehen. Cyberoperationen bieten Nordkorea eine asymmetrische Angriffsfläche, die mit einer relativ kleinen Gruppe von Akteuren, insbesondere gegen Südkorea, effektiv eingesetzt werden kann.
Die Geschichte der Lazarus-Gruppe lässt sich bis ins Jahr 2009 zurückverfolgen, als sie mit der "Operation Troy" DDoS-Angriffe auf südkoreanische und US-amerikanische Webseiten durchführte (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group). Im Laufe der Zeit wurden die Angriffe der Gruppe immer raffinierter. Weltweite Bekanntheit erlangte Lazarus 2014 durch den Angriff auf Sony Pictures Entertainment (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group), bei dem vertrauliche Daten, darunter unveröffentlichte Filme, Drehbücher und persönliche Informationen von Mitarbeitern, gestohlen und veröffentlicht wurden. Der Angriff wurde als Vergeltung für den Film "The Interview" interpretiert, der ein fiktives Attentat auf den nordkoreanischen Machthaber darstellte (justice.gov: https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and).
Neben der Unterhaltungsindustrie hat die Lazarus-Gruppe auch Finanzinstitute ins Visier genommen. 2016 stahl sie 81 Millionen US-Dollar von der Zentralbank von Bangladesch (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group, justice.gov: https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and). Auch Banken in Polen, Mexiko, Ecuador und Vietnam wurden Opfer ihrer Angriffe. Im Jahr 2017 wurden der Far Eastern International Bank in Taiwan 60 Millionen US-Dollar gestohlen, wobei ein Großteil der Gelder später wiedergefunden wurde.
Kaspersky Lab berichtete 2017, dass sich Lazarus auf Spionage und Infiltration konzentriert, während eine Untergruppe namens Bluenoroff auf Finanzangriffe spezialisiert ist (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group). Obwohl Verbindungen zwischen Bluenoroff und Nordkorea festgestellt wurden, räumte Kaspersky ein, dass die Wiederholung des Codes eine "falsche Flagge" sein könnte, um Ermittler in die Irre zu führen. Symantec hielt es 2017 für "sehr wahrscheinlich", dass Lazarus hinter dem WannaCry-Angriff steckte (Wikipedia: https://en.wikipedia.org/wiki/Lazarus_Group).
Im Juni 2023 wurde Lazarus mit einem Kryptowährungsdiebstahl in Höhe von 35 Millionen US-Dollar von der dezentralen Wallet-Plattform Atomic Wallet in Verbindung gebracht (The Record: https://therecord.media/lazarus-group-attributed-to-atomic-wallet-heist-elliptic). Analysten von Elliptic führten den Vorfall mit hoher Wahrscheinlichkeit auf die Lazarus-Gruppe zurück, da die Hacker ähnliche Techniken wie bei früheren Angriffen verwendeten. Die gestohlenen Vermögenswerte wurden unter anderem über den Sinbad-Mixer gewaschen, der auch bei früheren Hacks der Lazarus-Gruppe zum Einsatz kam.
Insgesamt wird die Lazarus-Gruppe verdächtigt, für den Diebstahl von über 2 Milliarden US-Dollar an digitalen Vermögenswerten von Krypto-Börsen und dezentralen Finanzdienstleistungen verantwortlich zu sein (The Record: https://therecord.media/lazarus-group-attributed-to-atomic-wallet-heist-elliptic). Darunter fällt auch der Hack der Ronin Bridge im April 2022, bei dem 540 Millionen US-Dollar erbeutet wurden.
