A Kaspersky Lab bejelentette, hogy a Novettával és más iparági partnerekkel együtt hozzájárul az Operation Blockbuster művelethez. A cél az, hogy megzavarják a rendkívül kártékony Lazarus csoport tevékenységét, amely adatok megsemmisítéséért, valamint világszerte több vállalat ellen elkövetett hagyományos számítógépes kémkedési műveletekért felelős. A Lazarus hajthatta végre a Sony Pictures Entertainment elleni 2014-es támadást, valamint a média és pénzügyi szervezeteket megcélzó 2013-as DarkSeoul műveletet.
A Sony Pictures Entertainment (SPE) elleni 2014-es kártékony támadás után a Kaspersky Lab GReAT csapata megkezdte az incidens során használt Destover vírus vizsgálatát. Ez vezetett egy szélesebb kutatáshoz az érintett kiberkémkedési és kiberszabotázs kampányokra kiterjedően, amelyek többek között pénzügyi szervezeteket, valamint média és gyártó cégeket céloztak.
A különböző malware családok közös jellemzői alapján a cég szakértői képesek voltak egy csoportba sorolni több tíz izolált támadást, amelyeket ugyanaz a hackercsoport hajtott végre. Ezt a megállapítást az Operation Blockbuster több résztvevője is megerősítette saját elemzésében.
A Lazarus csoport már aktív volt néhány évvel az SPE eset előtt, és úgy tűnik még most is az. A Kaspersky Lab és más Operation Blockbuster résztvevők is megállapították, hogy kapcsolat van a különböző kampányok – a szöuli bankok és műsorszolgáltatók elleni Operation DarkSeoul, a Dél-Koreában katonai erőket megcélzó Operation Troy, valamint a Sony Pictures incidens – esetében használt malware-ek között.
A nyomozás során a Kaspersky Lab kutatói előzetes megállapításokat cseréltek az AlienVault Labs-zel. Végül a két cég kutatói úgy döntöttek, hogy egyesítik erőiket és közös vizsgálatot folytatnak le. Ezzel egyidejűleg a Lazarus csoport tevékenységét több más cég és biztonsági szakember is vizsgálta. E vállalatok egyike, a Novetta egy kezdeményezést indított, amelynek célja, hogy mindenre kiterjedő információkat tegyen közzé a Lazarus csoport tevékenységéről. Az Operation Blockbuster keretében a Novettával, az AlienVault Labbel és más iparági partnerekkel együtt a Kaspersky Lab is publikálja megállapításait.
Tű a szénakazalban
A különböző biztonsági incidensekből származó malware minták vizsgálatával és speciális azonosítási szabályok megteremtésével a Kaspersky Lab, az AlienVault és más Operation Blockbuster résztvevők képesek voltak azonosítani számos olyan támadást, amelyet a Lazarus csoport követett el.
A különböző minták közötti kapcsolat, amely ugyanahhoz csoporthoz vezetett, az egyik elemzés során derült ki, amikor a hackercsoport által használt módszereket vizsgálták. Azt fedezték fel, hogy a támadók aktívan újrahasználnak programkódokat: kölcsönveszik az egyik rosszindulatú program kódjának részleteit, hogy azt egy másikban használhassák.
A kutatók észrevették továbbá a támadók módszerei közötti hasonlóságokat. A különböző támadások során azonosított minták elemzése során felfedezték, hogy a dropperek – azok a speciális fájlok, amelyek a rosszindulatú program különböző változatait telepítik – mindegyike egy jelszóval védett ZIP archívumban tárolta a rosszindulatú komponenseket. A különböző kampányokban használt archívumokhoz tartozó jelszó ugyanaz volt, amelyet bekódoltak a dropperbe. A jelszavas védelmet annak érdekében alkalmazták, hogy megakadályozzák az automatizált rendszereket abban, hogy kicsomagolják és elemezzék a fájlokat, a valóságban azonban ez segített a kutatóknak azonosítani a csoportot.
Egy, a bűnözők által használt módszer, amely megpróbálja törölni a fertőzött rendszerben jelenlévő nyomaikat, valamint néhány technika, amelyet arra használtak, hogy megkerüljék az antivírus termékeket, ugyancsak további eszközöket adott a kutatók kezébe, hogy csoportosítsák a kapcsolódó támadásokat. Végül tíz különböző támadást, amelyek végrehajtói ismeretlenek voltak, kötöttek össze egyetlen hackercsoporttal.
A művelet geográfiája
A minták létrehozási dátumainak az elemzése megmutatta, hogy a legkorábbi valószínűleg 2009-ből származik, vagyis öt évvel a hírhedt Sony támadás előttről. Az új minták száma 2010 óta dinamikusan növekszik. Ez arra utal, hogy a Lazarus csoport egy stabil, régóta fennálló szereplő. A vizsgált mintákból kivont metaadatok alapján kiderült, hogy a Lazarus csoport által használt legtöbb rosszindulatú programot munkaidőben állították össze a GMT+8 – GMT+9 időzónákban.
“Ahogy előre jeleztük, a törlő támadások száma folyamatosan növekszik. Ez a fajta malware rendkívül hatékony számítógépes fegyvernek bizonyul. Az erő, amellyel képesek több ezer számítógépet egyetlen gombnyomással letörölni, komoly fegyver egy olyan hackercsoport kezében, amelynek célja a félretájékoztatás és a megcélzott vállalatok megbénítása. Az ipari partnereinkkel együtt büszkék vagyunk arra, hogy csapást mérhettünk egy pusztító technikákat alkalmazó, gátlástalan hackercsoportra” – mondta Juan Gierrero, a Kaspersky Lab vezető biztonsági kutatója.
“Ez a hackercsoport rendelkezik a szükséges képességekkel és elkötelezettséggel, hogy számítógépes kiberkémkedési műveleteket hajtson végre azzal a céllal, hogy adatokat lopjon vagy kárt okozzon. Ezt kombinálva a félretájékoztatás a megtévesztés technikáival a támadók képesek voltak sikeresen véghezvinni számos műveletet az elmúlt pár évben” – mondta Jaime Blasco, az AlienVault vezető kutatója. Hozátette, az Operation Blockbuster egy jó példa arra, hogy miképpen növelhetjük a hatékonyságunkat információmegosztással és együttműködéssel annak érdekében, hogy közösen megakadályozzuk a hackerek tevékenységét.
“Az Operation Blockbuster keretében a Novetta, a Kaspersky Lab és a további partnerek folyamatos erőfeszítéseket tesznek, hogy kialakítsanak egy olyan módszertant, amely megzavarja a globálisan jelentős csoportok tevékenységét, és mérsékelje az általuk okozott károkat” – mondta Andre Ludwig, a Novetta Threat Research and Interdiction Group technikai igazgatója. “Az Operation Blockbuster által végzett részletes technikai elemzés igen magas szintű, ráadásul megállapításainkat megosztjuk iparági partnereinkkel, hogy mindannyian részesüljünk a megszerzett tudásból.”
