{"id":2745,"date":"2016-02-25T23:37:02","date_gmt":"2016-02-25T22:37:02","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=2745"},"modified":"2016-02-25T23:37:02","modified_gmt":"2016-02-25T22:37:02","slug":"foi-desativado-o-lazarus-group-responsavel-por-multiplos-ataques-como-o-da-sony","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/foi-desativado-o-lazarus-group-responsavel-por-multiplos-ataques-como-o-da-sony\/","title":{"rendered":"Foi desativado o Lazarus Group, respons\u00e1vel por m\u00faltiplos ataques como o da Sony"},"content":{"rendered":"

\"Operation<\/a>A Kaspersky Lab<\/strong>, em conjunto com a Novetta<\/strong> e AlienVault Labs<\/strong>, realizou uma opera\u00e7\u00e3o batizada como \u201cBlockbuster<\/strong>\u201d para por fim \u00e0 atividade do Lazarus Group<\/strong>, organiza\u00e7\u00e3o respons\u00e1vel pela destrui\u00e7\u00e3o de dados e por opera\u00e7\u00f5es de ciberespionagem contra empresas de todo o mundo.\u00a0 Segundo os especialistas, este grupo est\u00e1 por detr\u00e1s do ataque \u00e0 Sony Pictures Entertainment de 2014 e da opera\u00e7\u00e3o DarkSeoul dirigida a meios de comunica\u00e7\u00e3o e institui\u00e7\u00f5es financeiras em 2013.<\/p>\n

<\/p>\n

Ap\u00f3s o ataque contra a famosa produtora de cinema Sony Pictures Entertainment em 2014, o grupo de analistas da Kaspersky Lab (GReAT) come\u00e7ou a investigar amostras do malware Destover utilizado neste ataque. Esta investiga\u00e7\u00e3o conduziu a uma an\u00e1lise mais ampla a outras atividades de ciberespionagem e cibersabotagem dirigidas a institui\u00e7\u00f5es financeiras, meios de comunica\u00e7\u00e3o e fabricantes, entre outros.<\/p>\n

Baseando-se nas caracter\u00edsticas comuns das diferentes fam\u00edlias de malware, a Kaspersky Lab, em conjunto com os demais participantes da Opera\u00e7\u00e3o Blockbuster, conseguiu agrupar dezenas de ataques isolados e determinar que todos pertenciam ao mesmo grupo cibercriminoso. O Lazarus Group lj\u00e1 estava ativo h\u00e1 v\u00e1rios anos antes do incidente da Sony Pictures e, depois de analisar o malware, os peritos confirmaram a conex\u00e3o do incidente de Sony com a Opera\u00e7\u00e3o DarkSeoul dirigida a bancos e meios de comunica\u00e7\u00e3o de Seul e com a Opera\u00e7\u00e3o Troy perpetrada contra as for\u00e7as militares da Coreia do Sul.<\/p>\n

Durante a an\u00e1lise, os investigadores da Kaspersky Lab partilharam as primeiras descobertas com a AlienVault Labs, a fim de levar a cabo uma investiga\u00e7\u00e3o conjunta. Ao mesmo tempo, outras empresas e especialistas de seguran\u00e7a tamb\u00e9m seguiam a atividade do Lazarus Group e uma delas, a Novetta, come\u00e7ou a publicar informa\u00e7\u00e3o de intelig\u00eancia sobre as opera\u00e7\u00f5es deste grupo cibercriminoso. Como parte da Opera\u00e7\u00e3o Blockbuster, a Kaspersky Lab, com a Novetta, AlienVault Labs e outros parceiros da ind\u00fastria de seguran\u00e7a, tornaram p\u00fablicos os principais dados desta investiga\u00e7\u00e3o.<\/p>\n

Uma agulha no palheiro<\/strong><\/p>\n

Depois de analisar as numerosas amostras de malware detetadas em diferentes incidentes de ciberseguran\u00e7a e criar normas especiais de dete\u00e7\u00e3o, os investigadores da Opera\u00e7\u00e3o Blockbuster conseguiram identificar alguns ataques dirigidos por este grupo de cibercriminosos.<\/p>\n

Os pontos de liga\u00e7\u00e3o entre as amostras e o grupo cibercriminoso foram descobertos durante a an\u00e1lise aos m\u00e9todos utilizados. Os peritos conclu\u00edram que esta organiza\u00e7\u00e3o reutilizou c\u00f3digo, utilizando fragmentos de alguns programas maliciosos para utiliz\u00e1-los noutros.<\/p>\n

Al\u00e9m disso, os analistas confirmaram as semelhan\u00e7as existentes no modus operandi<\/em> destes cibercriminosos. Enquanto analisavam os diferentes tipos de ataques, descobriram que os droppers<\/em> \u2013 ficheiros especiais utilizados para instalar c\u00f3digo malicioso adicional \u2013 mantinham os seus componentes num ficheiro ZIP protegido com passwords j\u00e1 utilizadas anteriormente. A prote\u00e7\u00e3o por password era usada para evitar que os sistemas de seguran\u00e7a extra\u00edssem e analisassem o conte\u00fado automaticamente. No entanto, isto acabou por ajudar a que os analistas os identificassem.<\/p>\n

Com efeito, o m\u00e9todo usado pelos cibercriminosos para eliminar o seu rasto depois de infetar um sistema, em conjunto com as t\u00e9cnicas para evitar a dete\u00e7\u00e3o dos antiv\u00edrus, deu aos analistas mais pistas sobre os seus ataques. Deste modo, dezenas de ataques dirigidos e de car\u00e1cter desconhecido acabaram por ser vinculados ao mesmo autor.<\/p>\n

Geografia da opera\u00e7\u00e3o<\/strong><\/p>\n

A an\u00e1lise \u00e0s datas das amostras demonstrou que estes ataques j\u00e1 tinham sido perpetrados em 2009, cinco anos antes do ataque \u00e0 Sony. O n\u00famero de novas amostras cresceu rapidamente desde 2010, demostrando que o Lazarus Group representava uma amea\u00e7a est\u00e1vel. Depois de analisados os metadados extra\u00eddos das amostras investigadas, verificou-se que a maior parte dos programas maliciosos usados por esta organiza\u00e7\u00e3o foram detetados durante as horas de trabalho GMT+8 e GMT+9.<\/p>\n

\u201cO n\u00famero de ataques cresceu de uma forma constante. Este tipo de malware \u00e9 uma ciberarma muito poderosa, j\u00e1 que permite apagar os dados de milhares de computadores com um s\u00f3 clique, uma recompensa mais que significativa para esta CNE (Computer Network Exploitation) encarregue de atacar as empresas alvo. Estes ataques, em conjunto com os ataques cin\u00e9ticos destinados a paralisar a infraestrutura de um pa\u00eds, devem ser cada vez mais tidos em conta e est\u00e3o mais pr\u00f3ximos da realidade do que parece<\/em>\u201d, sublinha Juan Guerrero, analista s\u00e9nior da Kaspersky Lab.<\/p>\n

\u201cEste grupo tem as capacidades e a determina\u00e7\u00e3o necess\u00e1rias para realizar opera\u00e7\u00f5es de ciberespionagem com o objetivo de roubar dados cr\u00edticos. Estas caracteristicas, juntamente com o uso de t\u00e9cnicas de desinforma\u00e7\u00e3o e engano, fizeram com que estes cibercriminosos tivessem tido \u00eaxito em v\u00e1rias opera\u00e7\u00f5es nos \u00faltimos anos\u201d,<\/em> afirmou, por seu turno, Jaime Blasco, diretor cientifico da AlienVault. Para este respons\u00e1vel, \u201ca Opera\u00e7\u00e3o Blockbuster \u00e9 um exemplo de como a partilha e colabora\u00e7\u00e3o na ind\u00fastria contribui enormemente para evitar que este grupo continue com as suas opera\u00e7\u00f5es\u201d.<\/em><\/p>\n

\u201cAtrav\u00e9s da Opera\u00e7\u00e3o Blockbuster, a Novetta, os nossos parceiros e a Kaspersky Lab juntaram for\u00e7as para estabelecer uma metodologia e interromper e mitigar estes ataques<\/em>\u201d, afirma Andre Ludwig, diretor t\u00e9cnico s\u00e9nior do Novetta Threat Research and Interdictiam Group. \u201cO n\u00edvel de an\u00e1lise realizado na Opera\u00e7\u00e3o Blockbuster \u00e9 inusual, mas partilhar com a ind\u00fastria as nossas descobertas \u00e9 ainda mais<\/em> \u201d.<\/p>\n

Para saber mais acerca das descobertas da Kaspersky Lab sobre o Lazarus Group, visite Securelist.com<\/a>.<\/p>\n

Para mais informa\u00e7\u00f5es sobre as investiga\u00e7\u00f5es da Novetta em rela\u00e7\u00e3o ao Lazarus Group, visite www.operationblockbuster.com<\/a><\/p>\n

Fonte: Kaspersku Labs<\/strong> Ib\u00e9ria e Adding Value<\/strong><\/p>\nPartilhe no Facebook<\/a>\n\t