Kaspersky Lab şi întreruperea activității Grupului Lazarus

Kaspersky Lab, alături de Novetta și alți parteneri din industria IT, își anunță contribuția la operațiunea Blockbuster. Obiectivul operațiunii este să întrerupă activitatea grupului Lazarus – o entitate foarte periculoasă, responsabilă de ștergeri de date, precum și de operațiuni convenționale de spionaj cibernetic împotriva a numeroase companii din toată lumea. Se crede că acești atacatori sunt în spatele acțiunii asupra Sony Pictures Entertainment din 2014 și al celei denumite DarkSeoul, care a vizat instituții media și financiare, în 2013.

După un atac devastator asupra celebrei case de producție de film Sony Pictures Entertainment (SPE) în anul 2014, echipa GReAT (Globa Research and Analysis Team) de la Kaspersky Lab și-a început investigația asupra mostrelor de programe malware Destover, semnalate în mod public că ar fi fost folosite în atac. Aceasta a dus la o cercetare mai amplă asupra unui hățiș de campanii de spionaj cibernetic, care vizau instituții financiare, stații media și companii de producție, printre altele.

Pe baza caracteristicilor comune ale diferitelor familii de programe malware, experții companiei au reușit să pună laolaltă zeci de atacuri izolate și să concluzioneze că toate aparțin aceleiași grupări, lucru confirmat și de ceilalți participanți la Operațiunea Blockbuster, în analiza lor.

Grupul Lazarus a fost activ și câțiva ani înainte de incidentul SPE și se pare că este încă activ. Kaspersky Lab și alte cercetări pe această temă confirmă legătura dintre programele malware folosite în diverse campanii, cum ar fi Operațiunea DarkSeoul împotriva unor bănci și instituții media din Seul, Operațiunea Troy, care vizează forțe militare din Coreea de Sud  și incidentul Sony Pictures.

În timpul investigației, cercetătorii Kaspersky Lab au făcut schimb de rezultate preliminare cu AlienVault Labs. În cele din urmă, experții celor două companii au decis să-și unească eforturile și să deruleze o investigație comună. Simultan, activitatea grupului Lazarus a fost investigată de multe alte companii și specialiști în securitate. Una dintre aceste companii, Novetta, a avut inițiativa de a publica cea mai mare parte dintre informațiile despre activitatea grupului Lazarus. Împreună cu Novetta, AlienVault Labs și alți parteneri, Kaspersky Lab publică rezultatele, în beneficiul publicului larg.

Un car cu fân plin de ace

Analizând mostre multiple de malware descoperite în diferite incidente de securitate cibernetică și stabilind anumite reguli pentru a le detecta, Kaspersky Lab, AlienVault și alți specialiști din Operațiunea Blockbuster au reușit să identifice o serie de atacuri ce au fost derulate de grupul Lazarus.

Indiciul din mostrele multiple ce ducea la un singur grup a fost descoperit în timpul analizei metodelor folosit de acest actor al amenințărilor. Mai exact, s-a descoperit că atacatorii re-foloseau coduri – împrumutau fragmente de cod de la un program malware pentru a-l folosi în altul.

În plus, cercetătorii au reușit să identifice asemănările în modul de operare al atacatorilor. În timp ce analizau dovezi din diferite atacuri au descoperit că așa-numitele “droppers” – fișiere speciale, folosite pentru a instala diferite variante ale unui program malware – își păstrau conținutul dăunător într-o arhivă ZIP protejată cu o parolă. Parola pentru arhive, folosită în diferite campanii a fost aceeași ca și codul de bază din interiorul dropper-ului. Protecția prin intermediul parolei a fost implementată pentru a evita ca sistemele automate să extragă și să analizeze conținutul, dar în realitate a ajutat cercetătorii să identifice grupul.

O metodă inedită folosită de infractori în încercarea de a-și șterge urmele dintr-un sistem infectat, împreună cu alte tehnici pentru a evita detecția din partea produselor anti-virus, a dat, de asemenea, cercetătorilor posibilități suplimentare să facă legătura între atacuri. În cele din urmă, zeci de atacuri cu țintă predefinită, cu autori considerați necunoscuți, au fost atribuite aceluiași actor.

Aria geografică a operațiunii

Analiza datelor din mostrele strânse a arătat că cea mai îndepărtată ar putea proveni din 2009, cu cinci ani înainte de atacul asupra Sony. Numărul de noi mostre a crescut constant din 2010. Acest lucru arată că grupul Lazarus este un actor stabil, cu experiență în peisajul amenințărilor cibernetice. În baza metadatelor extrase din mostrele cercetate, cele mai multe dintre programele malware folosite de grupul Lazarus par să fi fost alcătuite în timpul orelor de lucru din zone cu coordonate orare GMT+8 – GMT+9.

“Așa cum am anticipat, numărul de atacuri de tip wiper crește semnificativ. Această categorie de malware se dovedește o armă cibernetică eficientă. Puterea de a ”șterge” mii de computere prin apăsarea unui singur buton reprezintă un premiu valoros pentru o echipă care exploatează rețele de calculatoare și al cărei scop este de a dezinforma și de a crea o ruptură într-o companie vizată. Este un experiment interesant și care se află mult mai aproape de realitate decât ne-ar plăcea. Acesta face parte dintr-un război hibrid care folosește atacurile de tip wiper în combinație cu atacuri kinetice pentru a paraliza, efectiv, infrastructura unui stat. Împreuna cu partenerii noștri din industrie, suntem mândri să punem o piedică în calea acestori actori fără scrupule, care utilizează astfel de tehnici devastatoare,” spune Juan Guerrero, senior security researcher, Kaspersky Lab.

”Acest actor are aptitudinile și determinarea necesare pentru a executa operațiuni de spionaj cibernetic, cu scopul de a sustrage date sau de a provoca pagube. Îmbinând aceste tactici cu tehnici de dezinformare și de înșelăciune, atacatorii au reușit să lanseze cu succes câteva operațiuni în ultimii ani,” spune Jaime Blasco, chief scientist, AlienVault. ”Operațiunea Blockbuster este un exemplu al modului în care colaborarea și schimbul de informații la nivelul întregii industrii pot opri operațiunile unui actor periculos.”

”În cadrul operațiunii Blockbuster, Novetta, Kasperky Lab și partenerii noștri și-au continuat eforturile de a institui o metodologie pentru oprirea operațiunilor unor grupuri de atac importante la nivel global și pentru evitarea unor pagube viitoare,” a spus Andre Ludwig, senior technical director, Novetta Threat Research and Interdiction Group. ”Astfel de analize tehnice în profunzime sunt rare, la fel fiind și schimbul de informații pe care l-am realizat cu partenerii din industrie. La final, cu toții am beneficiat de o mai bună înțelegere a situației.”

Sursa foto: www.ecommercetimes.com
Sursa articolului: www.agora.ro