Компания «Лаборатория Касперского» участвует в борьбе с кибергруппировкой Lazarus, на которой, предположительно, лежит ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Борьба с ней ведется в рамках операции Blockbuster, участниками которой являются многие организации и эксперты по информационной безопасности, в том числе компании AlienVault Labs и Novetta.
Для атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. «Лаборатория Касперского» проанализировала образцы этого зловреда и обнаружила его сходство с другими семействами вредоносного ПО, которое использовалось в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Анализ позволил установить, что группировка Lazarus начала свою деятельность задолго до нападения на Sony Pictures Entertainment. Так, самый ранний из образцов вредоносного ПО, вероятно, был создан в 2009 году, а с 2010 года число новых образцов стремительно увеличивалось.
Расследование позволило обнаружить целый ряд атак, за организацией которых стояла Lazarus. Вредоносное ПО, сходное с тем, которое использовалось в атаке на Sony Pictures Entertainment, применялось также в кампании DarkSeoul, направленной на сеульские банки, радио и телевидение, и в операции Operation Troy, нацеленной на вооруженные силы Южной Кореи.
Найти связь между разными образцами зловредов и вычислить использующую их кибергруппировку удалось благодаря анализу методов, применяемых атакующими. Например, Lazarus использует один и тот же вредоносный код по нескольку раз, включая уже применявшиеся фрагменты в новые образцы.
Кроме того, эксперты обнаружили, что дропперы — специальные файлы, используемые атакующими для установки полезной нагрузки зловредов — хранили эту самую полезную нагрузку в ZIP-архиве, защищенном паролем. Пароль для архивов, замеченных в различных вредоносных кампаниях, всегда был одним и тем же. Вероятно, атакующие рассчитывали, что пароль поможет защитить данные от выгрузки и анализа, но в действительности именно это и помогло напасть на след кибергруппировки и понять, что именно она стоит за многими сходными по методам проведения атаками.
Наконец, группировку Lazarus выдали особые методы стирания следов своего присутствия в зараженных системах, а также техники, с помощью которых они избегали детектирования антивирусными программами. В итоге десятки различных целевых атак, организаторы которых до недавнего времени были неизвестны, свелись к одному источнику.
Группировка до сих пор активна и, как выяснили эксперты, проанализировав время создания большинства зловредов, работает в часовых поясах GMT+8 и GMT+9.
«Атаки, выводящие из строя целые ИТ-инфраструктуры организаций, происходят все чаще и становятся крайне эффективным кибероружием в руках злоумышленников. Возможность прекратить работу одновременно тысяч компьютеров путем нажатия всего лишь одной кнопки дает большие преимущества организаторам кибератак, чьей целью является нанесение физического вреда конкретному предприятию. А использование подобных атак в совокупности с физическим оружием и вовсе способно парализовать инфраструктуру целой страны — и подобный сценарий гораздо реалистичнее, чем нам может казаться. Именно поэтому вместе с другими представителями индустрии мы наносим удар по этой угрозе и стоящей за ней группировке, использующей столь разрушительные методы», — пояснил Хуан Герреро, антивирусный эксперт «Лаборатории Касперского».