Kaspersky Lab informuje o swoim udziale, wraz z organizacją Novetta oraz innymi partnerami z branży bezpieczeństwa IT, w operacji Blockbuster. Jej celem jest rozbicie aktywności grupy Lazarus – niezwykle szkodliwego gangu odpowiedzialnego za niszczenie danych, jak również konwencjonalne operacje cyberszpiegowskie skierowane przeciwko różnym firmom na świecie.
Uważa się, że ugrupowanie to stoi za atakiem na Sony Pictures Entertainment z 2014 r. oraz operacją DarkSeoul z 2013 r., której celem były instytucje z branży mediów i finansów. Po ataku cyberprzestępców na Sony Pictures Entertainment w 2014 r. Globalny Zespół ds. Badań i Analiz firmy Kaspersky Lab (GReAT) rozpoczął dochodzenie obejmujące próbki szkodliwego oprogramowania Destover, które według publicznych doniesień zostało wykorzystane w tych niszczycielskich działaniach. To zainicjowało szersze badanie dotyczące grupy powiązanych ze sobą kampanii cyberszpiegowskich i cybersabotażu wymierzonych, między innymi, w instytucje finansowe, stacje telewizyjne oraz przedsiębiorstwa produkcyjne.
Trop wykryty w różnych próbkach, który prowadził do jednego ugrupowania, został zidentyfikowany podczas analizy metod wykorzystywanych przez omawiany cybergang. W szczególności wykryto, że atakujący aktywnie wykorzystują istniejący kod do nowych celów – pożyczając fragmenty z jednego szkodliwego programu, aby wykorzystać je w innym.
Ponadto badacze zdołali dostrzec podobieństwa w sposobie działania cyberprzestępców. Analizując artefakty pochodzące z różnych ataków, odkryli, że tzw. droppery – specjalne pliki wykorzystywane do instalowania różnych szkodliwych programów – przechowywały swoje funkcje w archiwum ZIP chronionym przy użyciu hasła. Hasło do archiwów wykorzystywanych w różnych kampaniach było takie samo i zostało zakodowane na stałe wewnątrz droppera. Ochrona za pomocą hasła została zastosowana w celu uniemożliwienia automatycznym systemom wydobycia i analizy szkodliwego oprogramowania, w rzeczywistości jednak pomogło badaczom zidentyfikować grupę.
Specjalna metoda wykorzystywana przez przestępców do zacierania śladów swojej obecności w zainfekowanym systemie, wraz z określonymi technikami pozwalającymi uniknąć wykrycia przez produkty antywirusowe, również pomogła badaczom połączyć ze sobą powiązane ataki. Ostatecznie dziesiątki różnych ataków ukierunkowanych, których operatorzy zostali uznani za nieznanych, zostały przypisane jednemu ugrupowaniu cyberprzestępczemu.
Z analizy dat kompilacji próbek wynika, że najwcześniejsze mogły powstać w 2009 r., pięć lat przed atakiem na wytwórnię filmową Sony. Liczba nowych próbek rośnie dynamicznie od 2010 r., co pokazuje, że ugrupowanie Lazarus jest stabilnym długoletnim aktorem na scenie cyberzagrożeń. Informacje wydobyte z badanych próbek wskazują na to, że większość szkodliwych programów wykorzystywanych przez ugrupowanie Lazarus zostało skompilowanych w godzinach pracy w strefach czasowych GMT+8 – GMT+9.
„Poprzez operację Blockbuster, Novetta, Kaspersky Lab oraz nasi partnerzy kontynuowali działania zmierzające do stworzenia metodologii służącej do rozbijania operacji istotnych na całym świecie ugrupowań przestępczych i osłabiania ich wysiłków, aby wyrządzić dalsze szkody” – powiedział Andre Ludwig, starszy dyrektor ds. technicznych, Novetta Threat Research and Interdiction Group. „Tak szczegółowa analiza techniczna jak ta przeprowadzona w ramach operacji Blockbuster jest rzadkością – jeszcze mniej spotykane jest dzielenie się wynikami z partnerami z branży, tak aby wszyscy mogli odnieść korzyści”.
Źródło: Kaspersky Lab Polska