Home Atualidades Kaspersky Lab ajuda a desmontar operação do Lazarus, grupo ligado aos ataques à Sony Pictures e DarkSeoul

Kaspersky Lab ajuda a desmontar operação do Lazarus, grupo ligado aos ataques à Sony Pictures e DarkSeoul

por Agência Canal Veiculação

Brasil e México também foram afetados pelos ataques e estão entre os principais países-alvos

25 de fevereiro de 2016 – A Kaspersky Lab participou, em conjunto com a Novetta e outros parceiros do setor, da Operação Blockbuster, que desmontou a atividade do Grupo Lazarus – uma organização extremamente maligna, responsável pela destruição de dados, além de operar campanhas de ciberespionagem contra diversas empresas ao redor do mundo. Acredita-se que esses criminosos estejam por trás do ataque à Sony Pictures Entertainment em 2014 e da operação DarkSeoul, que afetou instituições da imprensa e financeiras em 2013.

Após um ataque devastador contra a famosa empresa cinematográfica Sony Pictures Entertainment (SPE) em 2014, a equipe de pesquisa e análise global (GReAT) da Kaspersky Lab iniciou a investigação de amostras do malware Destover, que foi publicamente conhecido como o malware usado no ataque. Os resultados iniciais conduziram o trabalho de pesquisa para uma abordagem mais ampla para englobar campanhas de espionagem e de sabotagem virtual direcionadas a instituições financeiras, organizações de mídia, o setor industrial, entre outros segmentos.

Com base nas características comuns das diferentes famílias de malware, os especialistas da empresa conseguiram agrupar dezenas de ataques isolados e determinar que todos eles pertencem ao mesmo autor, o que posteriormente foi confirmado pelas análises de outros participantes da Operação Blockbuster.

O Grupo Lazarus esteve em atividade por vários anos antes do incidente com a SPE e, aparentemente, continua atuando. As pesquisas conduzidas pelos membros da Operação Blockbuster confirmam ainda a relação do malware com várias campanhas, como por exemplo a operação DarkSeoul – que atingiu bancos e emissoras sediadas em Seul, a operação Troy – que atacou tropas militares na Coreia do Sul, e o incidente com a Sony Pictures.

Durante a investigação, os pesquisadores da Kaspersky Lab trocaram seus resultados preliminares com a AlienVault Labs. Mais à frente, os pesquisadores das duas empresas decidiram unir forças e realizar uma investigação conjunta. A atividade do grupo Lazarus estava sendo investigada simultaneamente por várias outras empresas e especialistas em segurança. Uma dessas empresas, a Novetta, lançou uma iniciativa com a finalidade de publicar o serviço de informações mais amplo e prático sobre a atividade do grupo. Como parte da operação Blockbuster, junto com a Novetta, a AlienVault Labs e outros parceiros do setor, a Kaspersky Lab está tornando público suas conclusões para o benefício do público em geral.

Um palheiro cheio de agulhas
Ao analisar várias amostras de malware encontradas em incidentes de cibersegurança diferentes e criar regras especiais de detecção, a Kaspersky Lab, a AlienVault e outros especialistas da operação Blockbuster conseguiram identificar uma série de ataques que teriam sido realizados pelo grupo Lazarus.

A associação de várias amostras com um único autor foi constatada por meio da análise dos métodos empregados. Em particular, descobriu-se que os atacantes estavam reutilizando ativamente o código, apropriando-se de fragmentos de um programa malicioso para usar em outro.

Além disso, os pesquisadores identificaram semelhanças no modo operante dos atacantes. Ao analisar as ferramentas usadas, foi descoberto que todos os droppers – arquivos especiais usados para instalar diferentes variações de uma carga maliciosa – mantinham suas cargas em um arquivo ZIP protegido por senha. A senha dos arquivos comprimidos era a mesma em várias campanhas. Essa proteção foi implementada a fim de evitar que sistemas automatizados extraíssem e analisassem sua carga, mas, na verdade, isso ajudou os pesquisadores a identificar o grupo.

Um método especial usado pelos criminosos para tentar limpar seus rastros nos sistemas infectados, junto com algumas técnicas usadas para evitar a detecção de produtos antivírus, também deu aos pesquisadores mais provas para relacionar os ataques. Com o tempo, dezenas de ataques direcionados cujos os autores eram considerados desconhecidos foram associados a um único agente.

A distribuição geográfica
A análise das datas das amostras indica que a primeira compilação ocorreu por volta de 2009, cinco anos antes do famoso ataque à Sony, e o número de variações do malware cresceu exponencialmente desde 2010. Esses fatos mostram que o grupo Lazarus conta com uma operação estável e de longa data. Com base nos metadados extraídos das amostras estudadas, a maioria dos programas maliciosos usados pelos cibercriminosos parece ter sido compilada durante o expediente de trabalho nos fusos horários GMT+8 e GMT+9.

“Conforme nossas previsões, o número de ataques de malware que formata o sistema das vítimas está aumentando a cada dia. Esse tipo de malware demonstra ser uma ciberarma eficiente. A capacidade de limpar milhares de computadores pressionando um botão representa uma recompensa valorosa para uma equipe de exploração de redes de computadores que visa a desinformação e interrupção das atividades das vítimas. Seu valor como parte de uma operação de guerra híbrida, em que os ataques de limpeza são integrados a ataques cinéticos para paralisar a infraestrutura de um país, continua sendo um exercício de raciocínio interessante, mais próximo da realidade do que seria confortável para nós. Junto com nossos parceiros do setor, estamos orgulhosos de ter conseguido enfraquecer as operações de um agente inescrupuloso disposto a utilizar técnicas devastadoras”, afirma Juan Guerrero, pesquisador sênior de segurança da Kaspersky Lab.

“Esse grupo tem as habilidades e a determinação necessárias para realizar operações de ciberespionagem com o intuito de roubar dados ou causar danos. Combinando isso com o uso de técnicas de desinformação e simulação, os invasores conseguiram realizar várias operações bem-sucedidas ao longo dos últimos anos”, diz Jaime Blasco, cientista-chefe da AlienVault. “A operação Blockbuster é um exemplo de como o compartilhamento de informações entre os players do setor e a colaboração podem fixar padrões mais elevados e impedir que esse grupo continue atuando.”

“Por meio da operação Blockbuster, a Novetta, a Kaspersky Lab e nossos parceiros continuam trabalhando para estabelecer uma metodologia para bloquear a ação dos ataques globais e tentar mitigar os esforços para gerar mais dano”, destaca Andre Ludwig, diretor técnico sênior da Novetta Threat Research and Interdiction Group. “O nível da análise técnica realizada pela operação Blockbuster é extraordinário e o compartilhamento dos resultados com o setor, com o objetivo que todos possam aproveitar dessa compreensão, é ainda mais incomum.”

Para mais informações sobre as conclusões da Kaspersky Lab sobre o grupo Lazarus, visitehttps://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/.

Para saber mais sobre as conclusões da Novetta sobre o grupo Lazarus, acessewww.OperationBlockbuster.com.

Você também pode gostar

Deixe um Comentário

Ao navegar neste site, você aceita os cookies que usamos para melhorar sua experiência. Aceito Mais informações