Sikeres összefogás kiberbűnözők ellen

A Lazarus hajthatta végre a Sony Pictures Entertainment elleni 2014-i támadást, valamint a média és pénzügyi szervezeteket megcélzó 2013-i DarkSeoul műveletet.

A híres filmgyártó cég, a Sony Pictures Entertainment (SPE) elleni 2014-i támadás után a Kaspersky Lab GReAT csapata megkezdte az incidenshez használt Destover vírus vizsgálatát. Ez vezetett egy szélesebb kutatáshoz az érintett kiberkémkedési és kiberszabotázs-kampányokra is kiterjedően, amelyek a többi között pénzügyi szervezeteket, valamint média- és gyártó cégeket céloztak.

A malware családok közös jellemzői alapján a cég szakértői képesek voltak egy csoportba sorolni izolált támadások sorát, amelyeket ugyanaz a hackercsoport hajtott végre. Ezt a megállapítást az Operation Blockbuster több résztvevője is megerősítette saját elemzésében.

A Lazarus csoport már aktív volt néhány évvel az SPE-eset előtt, és úgy tűnik föl, még most is az. A Kaspersky Lab és más Operation Blockbuster-résztvevők is megállapították: kapcsolat van a kampányok – a szöuli bankok és műsorszolgáltatók elleni Operation DarkSeoul, a Dél-Koreában katonai erőket megcélzó Operation Troy, valamint a Sony Pictures incidens – esetében használt malware-ek között.

A Kaspersky Lab kutatói megállapításokat cseréltek az AlienVault Labs-zel. Végül a két cég kutatói úgy döntöttek, hogy egyesítik erőiket és közösen vizsgálódnak. Ezzel egyidejűleg a Lazarus csoport tevékenységét több más cégek és biztonsági szakemberek is vizsgálták. Egyikük, a Novetta kezdeményezte, hogy mindenre kiterjedő információkat tegyen közzé a Lazarus csoport tevékenységéről. Az Operation Blockbuster keretében a Novettával, az AlienVault Labbel és más iparági partnerekkel együtt a Kaspersky Lab is publikálja megállapításait.

A biztonsági incidensekből származó malware-minták vizsgálatával és azonosítási szabályok megteremtésével a Kaspersky Lab, az AlienVault és más Operation Blockbuster-résztvevők képesek voltak azonosítani számos olyan támadást, amelyet a Lazarus csoport követett el.

A minták közötti kapcsolat, amely ugyanahhoz csoporthoz vezetett, az egyik elemzés során derült ki, amikor a hackercsoport által használt módszereket vizsgálták. Azt fedezték fel, hogy a támadók aktívan újrahasználnak programkódokat: kölcsön veszik az egyik rosszindulatú program kódjának részleteit, hogy azt egy másikban használhassák.

A kutatók észrevették továbbá a támadók módszerei közötti hasonlóságokat. A támadások során azonosított minták elemzése közben felfedezték, hogy a dropperek  – azok a speciális fájlok, amelyek a rosszindulatú program különböző változatait telepítik – mindegyike jelszóval védett ZIP archívumban tárolta a rosszindulatú komponenseket. A kampányokban használt archívumokhoz tartozó jelszó ugyanaz volt, amelyet bekódoltak a dropperbe. A jelszavas védelmet azért alkalmazták, hogy megakadályozzák az automatizált rendszereket abban, hogy kicsomagolják és elemezzék a fájlokat, a valóságban viszont éppen ez segített a kutatóknak a csoport azonosításában.

A bűnözők által használt egyik módszer megpróbálja törölni a fertőzött rendszerben jelenlévő nyomaikat, valamint néhány technika, amelyet arra használtak, hogy megkerüljék az antivírus-termékeket, ugyancsak további eszközöket adott a kutatók kezébe, hogy csoportosítsák a kapcsolódó támadásokat. Végül tíz támadást, amelynek végrehajtói ismeretlenek voltak, kötöttek össze egyetlen hackercsoporttal.

A minták létrehozási dátumainak az elemzése megmutatta, hogy a legkorábbi valószínűleg 2009-ből származik, vagyis öt évvel a Sony elleni hírhedt támadás előttről. Az új minták száma 2010 óta dinamikusan növekszik. Ez arra utal, hogy a Lazarus csoport régóta létező szereplő. A vizsgált mintákból kivont metaadatok alapján kiderült: a Lazarus csoport által használt legtöbb rosszindulatú programot munkaidőben állították össze.

„Ahogy előre jeleztük, a törlő támadások száma folyamatosan növekszik. Ez a fajta malware rendkívül hatékony számítógépes fegyvernek bizonyul. Az erő, amellyel képesek több ezer számítógépet egyetlen gombnyomással letörölni, különösen hatékony fegyver egy olyan hackercsoport kezében, amelynek célja a félre tájékoztatás és a megcélzott vállalatok megbénítása. Az ipari partnereinkkel együtt büszkék vagyunk arra, hogy csapást mérhettünk egy pusztító technikákat alkalmazó, gátlástalan hackercsoportra” – mondta Juan Gierrero, a Kaspersky Lab vezető biztonsági kutatója.

„Ez a hackercsoport rendelkezik a szükséges képességekkel és elkötelezettséggel, hogy számítógépes kiberkémkedési műveleteket hajtson végre azzal a céllal, hogy adatokat lopjon vagy kárt okozzon. Ezt kombinálva a megtévesztés technikáival a támadók képesek voltak sikeresen véghezvinni számos műveletet az elmúlt pár évben” – mondta Jaime Blasco, az AlienVault vezető kutatója. „Az Operation Blockbuster jó példa arra, hogy miképpen növelhetjük a hatékonyságunkat információ-megosztással és együttműködéssel avégett, hogy közösen megakadályozzuk a hackerek tevékenységét.”