Firmy z branży bezpieczeństwa IT walczą wspólnie z grupą Lazarus

Pierwsze wyniki badań na temat działań Lazrusa opblikowal Kapsersky Lab, który w ramach operacji Blockbuster wraz z Novetta, AlienVault Labs oraz innymi partnerami z branży pomaga rozbić aktywność grupy

Ugrupowanie Lazarus działało już kilka lat przed incydentem z wytwórnią filmową Sony i wszystko wskazuje na to, że nadal jest aktywne. Badanie przeprowadzone przez uczestników operacji Blockbuster potwierdza istnienie związku pomiędzy szkodliwym oprogramowaniem wykorzystywanym w różnych kampaniach, takich jak operacja DarkSeoul skierowana przeciwko bankom oraz organizacjom radiowym i telewizyjnym w Seulu, operacja Troy atakująca siły wojskowe w Korei Południowej oraz incydent dotyczący Sony Pictures.

Poprzez analizowanie różnych próbek szkodliwego oprogramowania zidentyfikowanych w różnych incydentach naruszenia cyberbezpieczeństwa i tworzenie specjalnych reguł wykrywania Kaspersky Lab, AlienVault oraz inni specjaliści uczestniczący w operacji Blockbuster zdołali zidentyfikować wiele ataków, które przypisali ugrupowaniu Lazarus.

Trop wykryty w różnych próbkach, który prowadził do jednego ugrupowania, został zidentyfikowany podczas analizy metod wykorzystywanych przez omawiany cybergang. W szczególności wykryto, że atakujący aktywnie wykorzystują istniejący kod do nowych celów - pożyczając fragmenty z jednego szkodliwego programu, aby wykorzystać je w innym.

Ponadto badacze zdołali dostrzec podobieństwa w sposobie działania cyberprzestępców. Analizując artefakty pochodzące z różnych ataków, odkryli, że tzw. droppery - specjalne pliki wykorzystywane do instalowania różnych szkodliwych programów - przechowywały swoje funkcje w archiwum ZIP chronionym przy użyciu hasła. Hasło do archiwów wykorzystywanych w różnych kampaniach było takie samo i zostało zakodowane na stałe wewnątrz droppera. Ochrona za pomocą hasła została zastosowana w celu uniemożliwienia automatycznym systemom wydobycia i analizy szkodliwego oprogramowania, w rzeczywistości jednak pomogło badaczom zidentyfikować grupę.

Specjalna metoda wykorzystywana przez przestępców do zacierania śladów swojej obecności w zainfekowanym systemie, wraz z określonymi technikami pozwalającymi uniknąć wykrycia przez produkty antywirusowe, również pomogła badaczom połączyć ze sobą powiązane ataki. Ostatecznie dziesiątki różnych ataków ukierunkowanych, których operatorzy zostali uznani za nieznanych, zostały przypisane jednemu ugrupowaniu cyberprzestępczemu.

Z analizy dat kompilacji próbek wynika, że najwcześniejsze mogły powstać w 2009 r., pięć lat przed atakiem na wytwórnię filmową Sony. Liczba nowych próbek rośnie dynamicznie od 2010 r., co pokazuje, że ugrupowanie Lazarus jest stabilnym długoletnim aktorem na scenie cyberzagrożeń. Informacje wydobyte z badanych próbek wskazują na to, że większość szkodliwych programów wykorzystywanych przez ugrupowanie Lazarus zostało skompilowanych w godzinach pracy w strefach czasowych GMT+8 - GMT+9.

- Ugrupowanie to posiada niezbędne umiejętności i determinację, aby przeprowadzać operacje cyberszpiegowskie w celu kradzieży danych lub wyrządzenia szkód. Łącząc to ze stosowaniem dezinformacji oraz podstępu, atakujący zdołali skutecznie przeprowadzić kilka operacji w ciągu ostatnich kilku lat - mówi Jaime Blasco, główny naukowiec, AlienVault. - Operacja Blockbuster pokazuje, że wymiana informacji i współpraca w ramach branży bezpieczeństwa może podnieść poprzeczkę i utrudnić takiemu ugrupowaniu dalsze funkcjonowanie - dodaje.

- Poprzez operację Blockbuster, Novetta, Kaspersky Lab oraz nasi partnerzy kontynuowali działania zmierzające do stworzenia metodologii służącej do rozbijania operacji istotnych na całym świecie ugrupowań przestępczych i osłabiania ich wysiłków, aby wyrządzić dalsze szkody - podkreśla Andre Ludwig, starszy dyrektor ds. technicznych, Novetta Threat Research and Interdiction Group. - Tak szczegółowa analiza techniczna jak ta przeprowadzona w ramach operacji Blockbuster jest rzadkością - jeszcze mniej spotykane jest dzielenie się wynikami z partnerami z branży, tak aby wszyscy mogli odnieść korzyści.