Operation BlockbusterA Kaspersky Lab, em conjunto com a Novetta e AlienVault Labs, realizou uma operação batizada como “Blockbuster” para por fim à atividade do Lazarus Group, organização responsável pela destruição de dados e por operações de ciberespionagem contra empresas de todo o mundo.  Segundo os especialistas, este grupo está por detrás do ataque à Sony Pictures Entertainment de 2014 e da operação DarkSeoul dirigida a meios de comunicação e instituições financeiras em 2013.

Após o ataque contra a famosa produtora de cinema Sony Pictures Entertainment em 2014, o grupo de analistas da Kaspersky Lab (GReAT) começou a investigar amostras do malware Destover utilizado neste ataque. Esta investigação conduziu a uma análise mais ampla a outras atividades de ciberespionagem e cibersabotagem dirigidas a instituições financeiras, meios de comunicação e fabricantes, entre outros.

Baseando-se nas características comuns das diferentes famílias de malware, a Kaspersky Lab, em conjunto com os demais participantes da Operação Blockbuster, conseguiu agrupar dezenas de ataques isolados e determinar que todos pertenciam ao mesmo grupo cibercriminoso. O Lazarus Group ljá estava ativo há vários anos antes do incidente da Sony Pictures e, depois de analisar o malware, os peritos confirmaram a conexão do incidente de Sony com a Operação DarkSeoul dirigida a bancos e meios de comunicação de Seul e com a Operação Troy perpetrada contra as forças militares da Coreia do Sul.

Durante a análise, os investigadores da Kaspersky Lab partilharam as primeiras descobertas com a AlienVault Labs, a fim de levar a cabo uma investigação conjunta. Ao mesmo tempo, outras empresas e especialistas de segurança também seguiam a atividade do Lazarus Group e uma delas, a Novetta, começou a publicar informação de inteligência sobre as operações deste grupo cibercriminoso. Como parte da Operação Blockbuster, a Kaspersky Lab, com a Novetta, AlienVault Labs e outros parceiros da indústria de segurança, tornaram públicos os principais dados desta investigação.

Uma agulha no palheiro

Depois de analisar as numerosas amostras de malware detetadas em diferentes incidentes de cibersegurança e criar normas especiais de deteção, os investigadores da Operação Blockbuster conseguiram identificar alguns ataques dirigidos por este grupo de cibercriminosos.

Os pontos de ligação entre as amostras e o grupo cibercriminoso foram descobertos durante a análise aos métodos utilizados. Os peritos concluíram que esta organização reutilizou código, utilizando fragmentos de alguns programas maliciosos para utilizá-los noutros.

Além disso, os analistas confirmaram as semelhanças existentes no modus operandi destes cibercriminosos. Enquanto analisavam os diferentes tipos de ataques, descobriram que os droppers – ficheiros especiais utilizados para instalar código malicioso adicional – mantinham os seus componentes num ficheiro ZIP protegido com passwords já utilizadas anteriormente. A proteção por password era usada para evitar que os sistemas de segurança extraíssem e analisassem o conteúdo automaticamente. No entanto, isto acabou por ajudar a que os analistas os identificassem.

Com efeito, o método usado pelos cibercriminosos para eliminar o seu rasto depois de infetar um sistema, em conjunto com as técnicas para evitar a deteção dos antivírus, deu aos analistas mais pistas sobre os seus ataques. Deste modo, dezenas de ataques dirigidos e de carácter desconhecido acabaram por ser vinculados ao mesmo autor.

Geografia da operação

A análise às datas das amostras demonstrou que estes ataques já tinham sido perpetrados em 2009, cinco anos antes do ataque à Sony. O número de novas amostras cresceu rapidamente desde 2010, demostrando que o Lazarus Group representava uma ameaça estável. Depois de analisados os metadados extraídos das amostras investigadas, verificou-se que a maior parte dos programas maliciosos usados por esta organização foram detetados durante as horas de trabalho GMT+8 e GMT+9.

O número de ataques cresceu de uma forma constante. Este tipo de malware é uma ciberarma muito poderosa, já que permite apagar os dados de milhares de computadores com um só clique, uma recompensa mais que significativa para esta CNE (Computer Network Exploitation) encarregue de atacar as empresas alvo. Estes ataques, em conjunto com os ataques cinéticos destinados a paralisar a infraestrutura de um país, devem ser cada vez mais tidos em conta e estão mais próximos da realidade do que parece”, sublinha Juan Guerrero, analista sénior da Kaspersky Lab.

“Este grupo tem as capacidades e a determinação necessárias para realizar operações de ciberespionagem com o objetivo de roubar dados críticos. Estas caracteristicas, juntamente com o uso de técnicas de desinformação e engano, fizeram com que estes cibercriminosos tivessem tido êxito em várias operações nos últimos anos”, afirmou, por seu turno, Jaime Blasco, diretor cientifico da AlienVault. Para este responsável, “a Operação Blockbuster é um exemplo de como a partilha e colaboração na indústria contribui enormemente para evitar que este grupo continue com as suas operações”.

Através da Operação Blockbuster, a Novetta, os nossos parceiros e a Kaspersky Lab juntaram forças para estabelecer uma metodologia e interromper e mitigar estes ataques”, afirma Andre Ludwig, diretor técnico sénior do Novetta Threat Research and Interdictiam Group. “O nível de análise realizado na Operação Blockbuster é inusual, mas partilhar com a indústria as nossas descobertas é ainda mais ”.

Para saber mais acerca das descobertas da Kaspersky Lab sobre o Lazarus Group, visite Securelist.com.

Para mais informações sobre as investigações da Novetta em relação ao Lazarus Group, visite www.operationblockbuster.com

Fonte: Kaspersku Labs Ibéria e Adding Value

Partilhe no Facebook

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *