Kaspersky Lab, alaturi de Novetta si alti parteneri din industria IT, isi anunta contributia la operatiunea Blockbuster.Obiectivul operatiunii este sa intrerupa activitatea grupului Lazarus – o entitate foarte periculoasa, responsabila de stergeri de date, precum si de operatiuni conventionale de spionaj cibernetic impotriva a numeroase companii din toata lumea. Se crede ca acesti atacatori sunt in spatele actiunii asupra Sony Pictures Entertainment din 2014 si al celei denumite DarkSeoul, care a vizat institutii media si financiare, in 2013.
Dupa un atac devastator asupra celebrei case de productie de film Sony Pictures Entertainment (SPE) in anul 2014, echipa GReAT (Globa Research and Analysis Team) de la Kaspersky Lab si-a inceput investigatia asupra mostrelor de programe malware Destover, semnalate in mod public ca ar fi fost folosite in atac. Aceasta a dus la o cercetare mai ampla asupra unui hatis de campanii de spionaj cibernetic, care vizau institutii financiare, statii media si companii de productie, printre altele.
Pe baza caracteristicilor comune ale diferitelor familii de programe malware, expertii companiei au reusit sa puna laolalta zeci de atacuri izolate si sa concluzioneze ca toate apartin aceleiasi grupari, lucru confirmat si de ceilalti participanti la Operatiunea Blockbuster, in analiza lor.
Grupul Lazarus a fost activ si cativa ani inainte de incidentul SPE si se pare ca este inca activ. Kaspersky Lab si alte cercetari pe aceasta tema confirma legatura dintre programele malware folosite in diverse campanii, cum ar fi Operatiunea DarkSeoul impotriva unor banci si institutii media din Seul, Operatiunea Troy, care vizeaza forte militare din Coreea de Sud si incidentul Sony Pictures.
In timpul investigatiei, cercetatorii Kaspersky Lab au facut schimb de rezultate preliminare cu AlienVault Labs. In cele din urma, expertii celor doua companii au decis sa-si uneasca eforturile si sa deruleze o investigatie comuna. Simultan, activitatea grupului Lazarus a fost investigata de multe alte companii si specialisti in securitate. Una dintre aceste companii, Novetta, a avut initiativa de a publica cea mai mare parte dintre informatiile despre activitatea grupului Lazarus. Impreuna cu Novetta, AlienVault Labs si alti parteneri, Kaspersky Lab publica rezultatele, in beneficiul publicului larg.
Analizand mostre multiple de malware descoperite in diferite incidente de securitate cibernetica si stabilind anumite reguli pentru a le detecta, Kaspersky Lab, AlienVault si alti specialisti din Operatiunea Blockbuster au reusit sa identifice o serie de atacuri ce au fost derulate de grupul Lazarus.
Indiciul din mostrele multiple ce ducea la un singur grup a fost descoperit in timpul analizei metodelor folosit de acest actor al amenintarilor. Mai exact, s-a descoperit ca atacatorii re-foloseau coduri – imprumutau fragmente de cod de la un program malware pentru a-l folosi in altul.
In plus, cercetatorii au reusit sa identifice asemanarile in modul de operare al atacatorilor. In timp ce analizau dovezi din diferite atacuri au descoperit ca asa-numitele “droppers” – fisiere speciale, folosite pentru a instala diferite variante ale unui program malware – isi pastrau continutul daunator intr-o arhiva ZIP protejata cu o parola. Parola pentru arhive, folosita in diferite campanii a fost aceeasi ca si codul de baza din interiorul dropper-ului. Protectia prin intermediul parolei a fost implementata pentru a evita ca sistemele automate sa extraga si sa analizeze continutul, dar in realitate a ajutat cercetatorii sa identifice grupul.
O metoda inedita folosita de infractori in incercarea de a-si sterge urmele dintr-un sistem infectat, impreuna cu alte tehnici pentru a evita detectia din partea produselor anti-virus, a dat, de asemenea, cercetatorilor posibilitati suplimentare sa faca legatura intre atacuri. In cele din urma, zeci de atacuri cu tinta predefinita, cu autori considerati necunoscuti, au fost atribuite aceluiasi actor.
Analiza datelor din mostrele stranse a aratat ca cea mai indepartata ar putea proveni din 2009, cu cinci ani inainte de atacul asupra Sony. Numarul de noi mostre a crescut constant din 2010. Acest lucru arata ca grupul Lazarus este un actor stabil, cu experienta in peisajul amenintarilor cibernetice. In baza metadatelor extrase din mostrele cercetate, cele mai multe dintre programele malware folosite de grupul Lazarus par sa fi fost alcatuite in timpul orelor de lucru din zone cu coordonate orare GMT+8 – GMT+9.
“Asa cum am anticipat, numarul de atacuri de tip wiper creste semnificativ. Aceasta categorie de malware se dovedeste o arma cibernetica eficienta. Puterea de a ”sterge” mii de computere prin apasarea unui singur buton reprezinta un premiu valoros pentru o echipa care exploateaza retele de calculatoare si al carei scop este de a dezinforma si de a crea o ruptura intr-o companie vizata. Este un experiment interesant si care se afla mult mai aproape de realitate decat ne-ar placea. Acesta face parte dintr-un razboi hibrid care foloseste atacurile de tip wiper in combinatie cu atacuri kinetice pentru a paraliza, efectiv, infrastructura unui stat. Impreuna cu partenerii nostri din industrie, suntem mandri sa punem o piedica in calea acestori actori fara scrupule, care utilizeaza astfel de tehnici devastatoare,” spune Juan Guerrero, senior security researcher, Kaspersky Lab.
”Acest actor are aptitudinile si determinarea necesare pentru a executa operatiuni de spionaj cibernetic, cu scopul de a sustrage date sau de a provoca pagube. Imbinand aceste tactici cu tehnici de dezinformare si de inselaciune, atacatorii au reusit sa lanseze cu succes cateva operatiuni in ultimii ani,” spune Jaime Blasco, chief scientist, AlienVault. ”Operatiunea Blockbuster este un exemplu al modului in care colaborarea si schimbul de informatii la nivelul intregii industrii pot opri operatiunile unui actor periculos.”
”In cadrul operatiunii Blockbuster, Novetta, Kasperky Lab si partenerii nostri si-au continuat eforturile de a institui o metodologie pentru oprirea operatiunilor unor grupuri de atac importante la nivel global si pentru evitarea unor pagube viitoare,” a spus Andre Ludwig, senior technical director, Novetta Threat Research and Interdiction Group. ”Astfel de analize tehnice in profunzime sunt rare, la fel fiind si schimbul de informatii pe care l-am realizat cu partenerii din industrie. La final, cu totii am beneficiat de o mai buna intelegere a situatiei.”
