Insieme a Novetta e altri partner del settore, Kaspersky Lab è orgoglioso di annunciare il proprio contributo nell’Operazione Blockbuster.
L’obiettivo dell’operazione è fermare l’attività del gruppo Lazarus, un’entità altamente nociva responsabile della distruzione di dati e di operazioni di cyber spionaggio convenzionali contro numerose aziende in tutto il mondo. Si crede che questi criminali siano gli autori dell’attacco a Sony Pictures Entertainment nel 2014 e dell’operazione DarkSeoul che ha preso di mira i media e le istituzioni finanziarie nel 2013.
Dopo l’attacco devastante contro la celebre casa di produzione cinematografica Sony Pictures Entertainment (SPE) nel 2014, il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha iniziato a studiare i sample del malware Destover usato nell’attacco. Ciò ha portato a ulteriori ricerche su un cluster di campagne di cyber spionaggio e cyber sabotaggio, collegate tra loro, che hanno preso di mira, tra gli altri, istituzioni finanziarie, media e aziende manifatturiere.
Sulla base delle caratteristiche comuni delle diverse famiglie di malware, gli esperti dell’azienda sono stati in grado di raggruppare decine di attacchi isolati e di determinare la loro appartenenza ad un gruppo criminale, come altri partecipanti all’Operazione Blockbuster hanno confermato nelle loro analisi.
Il gruppo Lazarus era attivo da diversi anni prima dell’incidente che ha coinvolto Sony Pictures Entertainment e sembra essere tuttora attivo. Kaspersky Lab e altre ricerche dell’Operazione Blockbuster confermano una connessione tra i malware usati in molte campagne, come l’Operazione DarkSeoul contro banche ed emittenti con base a Seoul, l’Operazione Troy contro le forze militari della Corea del Sud e l’incidente Sony Pictures.
Durante le indagini, i ricercatori di Kaspersky Lab hanno condiviso le scoperte iniziali con AlienVault Labs. I ricercatori delle due aziende hanno quindi deciso di unire le forze e condurre un’indagine congiunta. Contemporaneamente, l’attività del gruppo Lazarus veniva studiata da molte altre aziende e specialisti di sicurezza. Una di queste aziende, Novetta, aveva avviato un’iniziativa volta alla pubblicazione dell’intelligence più esauriente e operativa sull’attività del gruppo Lazarus. Nell’ambito dell’Operazione Blockbuster, insieme a Novetta, AlienVault Labs e altri partner del settore, Kaspersky Lab sta pubblicando le proprie scoperte a beneficio del grande pubblico.
Un pagliaio pieno di aghi
Analizzando diversi campioni del malware rilevati in svariati incidenti di sicurezza informatica e creando speciali regole di rilevamento, Kaspersky Lab, AlienVault e altri specialisti dell’Operazione Blockbuster sono stati in grado di identificare numerosi attacchi riconducibili al gruppo Lazarus.
Il collegamento di molti sample a un singolo gruppo criminale è stato scoperto analizzando i metodi da loro usati. In particolare, è stato scoperto che i criminali stavano attivamente riciclando il codice, rubandone frammenti da un programma nocivo per usarli in un altro.
Inoltre, i ricercatori sono stati in grado di trovare somiglianze nel modus operandi dei criminali. Analizzando gli artefatti di diversi attacchi, è stato scoperto che tutti i dropper (file speciali usati per installare diverse varianti di un payload nocivo) conservavano i propri payload in un archivio ZIP protetto da password. La password degli archivi usati in diverse campagne era la stessa ed era a codifica fissa all’interno del dropper. La protezione con password era implementata per impedire ai sistemi automatici di estrarre e analizzare il payload, ma in realtà ha solamente aiutato i ricercatori a identificare il gruppo.
Un metodo speciale usato dai criminali per provare a cancellare le tracce della loro presenza da un sistema infettato, insieme ad alcune tecniche utilizzare per evitare il rilevamento da parte dei prodotti anti-virus hanno inoltre dato ai ricercatori ulteriori mezzi per raggruppare gli attacchi collegati. Decine di diversi attacchi mirati, i cui ideatori erano considerati sconosciuti, sono stati collegati a un singolo gruppo criminale.
La geografia dell’operazione
L’analisi delle date di compilazione dei sample ha mostrato che i primi potrebbero essere stati compilati già nel 2009, cinque anni prima del famigerato attacco a Sony. Il numero di nuovi sample è cresciuto rapidamente dal 2010. Questo identifica il gruppo Lazarus come un gruppo criminale stabile e di lunga durata. In base ai metadati estratti dai sample analizzati, molti dei programmi nocivi usati dal gruppo Lazarus sembrano essere stati compilati durante le ore lavorative dei fusi orati GMT+8 e GMT+9.
“Come previsto, il numero di attacchi wiper è cresciuto costantemente. Questo genere di malware si è dimostrato un genere di cyber arma straordinariamente efficace. Il potere di ripulire migliaia di computer premendo un solo bottone costituisce un asset per un gruppo di Computer Network Exploitation che mira alla disinformazione e all’interruzione delle operazione dell’azienda presa di mira. Il suo valore all’interno delle guerre ibride, in cui gli attacchi wiper operano in congiunzione con gli attacchi cinetici per paralizzare le infrastrutture di un Paese rimane un esperimento mentale interessante spaventosamente più vicino alla realtà di quanto possiamo immaginare. Insieme ai nostri partner di settore, siamo orgogliosi di intaccare le operazioni di un gruppo senza scrupoli, intenzionato a sfruttare queste tecniche devastanti”, ha commentato Juan Guerrero, Senior Security Researcher di Kaspersky Lab.
“Questo gruppo criminale ha le capacità e la determinazione necessarie per lanciare operazioni di cyber spionaggio allo scopo di rubare dati e causare danni. Combinandole con l’uso di tecniche di disinformazione e raggiro, i criminali sono stati in grado di lanciare con successo numerose operazioni negli ultimi anni”, ha commentato Jaime Blasco, chief scientist di AlienVault. “L’Operazione Blockbuster è un esempio di come la condivisione di informazioni e la collaborazione tra i membri di un settore permettano di puntare in alto e impedire al gruppo di continuare le sue operazioni”.
“Con l’Operazione Blockbuster, Novetta, Kaspersky Lab e i nostri partner hanno unito le forze per stabilite una metodologia per interrompere le operazioni di gruppo di attacco di importanza globale e per cercare di mitigare i loro sforzi di infliggere ulteriori danni”, ha commentato Andre Ludwig, senior technical director, Novetta Threat Research and Interdiction Group. “Il livello delle approfondite analisi tecniche condotte nell’Operazione Blockbuster è raro e condividere le nostre scoperte con i partner di settore, così da poter tutti beneficiare di una maggiore conoscenza, è ancora più raro”.
