Επιχείρηση «Blockbuster» από την Kaspersky

Η Kaspersky Lab συμβάλλει στη διακοπή της δράσης της επικίνδυνης ψηφιακής ομάδας Lazarus Group.

Η Kaspersky Lab είναι στην ευχάριστη θέση να ανακοινώσει τη συμβολή της, μαζί με τη Novetta και άλλους συνεργάτες από τον ευρύτερο κλάδο της ασφάλειας, στην «Επιχείρηση Blockbuster». Στόχος της επιχείρησης είναι να σταματήσει τη δραστηριότητα της ομάδας Lazarus Group,

ενός εξαιρετικά επικίνδυνου κακόβουλου φορέα, που είναι υπεύθυνος για την καταστροφή δεδομένων, καθώς και για παραδοσιακές επιχειρήσεις ψηφιακής κατασκοπείας εναντίον πολλών εταιρειών ανά τον κόσμο. Οι εν λόγω επιτιθέμενοι θεωρείται ότι βρίσκονται πίσω από την επίθεση στη Sony Pictures Entertainment το 2014, αλλά και την εκστρατεία DarkSeoul, η οποία έβαλε στο στόχαστρο Μέσα Μαζικής Ενημέρωσης και χρηματοπιστωτικά ιδρύματα το 2013.

Μετά από τη γνωστή καταστροφική επίθεση εναντίον της Sony Pictures Entertainment (SPE), μιας από τις πιο διάσημες εταιρείες παραγωγής ταινιών, το 2014, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab (GReAT) ξεκίνησε να ερευνά δείγματα του κακόβουλου λογισμικού Destover, το οποίο είχε χρησιμοποιηθεί στην επίθεση, όπως έγινε δημοσίως γνωστό. Αυτό οδήγησε σε περεταίρω έρευνα μιας σειράς συναφών εκστρατειών ψηφιακής κατασκοπείας και δολιοφθοράς, οι οποίες στράφηκαν εναντίον χρηματοπιστωτικών ιδρυμάτων, Μέσων Μαζικής Ενημέρωσης και κατασκευαστικών εταιρειών, μεταξύ των άλλων.

Με βάση τα κοινά χαρακτηριστικά που παρατηρήθηκαν σε διαφορετικές οικογένειες κακόβουλων προγραμμάτων, οι ειδικοί της εταιρείας κατάφεραν να ομαδοποιήσουν δεκάδες μεμονωμένες επιθέσεις και να φτάσουν στο συμπέρασμα ότι όλες ανήκουν σε έναν απειλητικό παράγοντα. Αυτό επιβεβαιώθηκε και από την ανάλυση που διεξήγαν και οι άλλοι συμμετέχοντες στην «Επιχείρηση Blockbuster».

Ο απειλητικός φορέας Lazarus Group ήταν ενεργός αρκετά χρόνια πριν από το περιστατικό της Sony Pictures Entertainment, ενώ φαίνεται ότι εξακολουθεί να είναι ενεργός. Η Kaspersky Lab και άλλοι συμμετέχοντες στην «Επιχείρηση Blockbuster» επιβεβαιώνουν μια σύνδεση μεταξύ κακόβουλων προγραμμάτων που χρησιμοποιήθηκαν σε διάφορες εκστρατείες, όπως η επιχείρηση DarkSeoul κατά τραπεζών και ραδιοτηλεοπτικών φορέων με έδρα τη Σεούλ, η επιχείρηση Troy που στόχευε στρατιωτικές δυνάμεις στη Νότια Κορέα και το περιστατικό της Sony Pictures Entertainment.

Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Lab αντάλλαξαν προκαταρκτικά ευρήματα με την AlienVault Labs. Σταδιακά, οι ερευνητές και από τις δύο εταιρείες αποφάσισαν να ενώσουν τις δυνάμεις τους και να διεξάγουν την έρευνα από κοινού. Ταυτόχρονα, η δραστηριότητα της ομάδας Lazarus Group έγινε αντικείμενο έρευνας από πολλές άλλες εταιρείες και ειδικούς ασφάλειας. Μία από αυτές τις εταιρείες, η Novetta, ξεκίνησε μια πρωτοβουλία με στόχο την δημοσίευση της πιο εκτενούς και αξιοποιήσιμης πληροφόρησης σχετικά με τη δραστηριότητα του Lazarus Group. Ως μέρος της «Επιχείρησης Blockbuster», μαζί με τη Novetta, την AlienVault Labs και άλλους συνεργάτες από τον κλάδο, η Kaspersky Lab δημοσιεύει τα ευρήματά της προς όφελος του ευρύτερου κοινού.

Ψάχνοντας ψύλλο στ’ άχυρα…

Αναλύοντας πολλαπλά δείγματα κακόβουλου λογισμικού που εντοπίστηκαν σε διαφορετικά περιστατικά ψηφιακής ασφάλειας και δημιουργώντας ειδικούς κανόνες εντοπισμού, η Kaspersky Lab, η AlienVault και άλλοι ειδικοί της Επιχείρησης «Blockbuster» κατάφεραν να εντοπίσουν μια σειρά επιθέσεων από την ομάδα Lazarus Group.

Η σύνδεση και η ομαδοποίηση πολλαπλών δειγμάτων σε μία μόνο ομάδα προέκυψε κατά την ανάλυση των μεθόδων που χρησιμοποιούνται από αυτόν τον φορέα. Ειδικότερα, ανακαλύφτηκε ότι οι επιτιθέμενοι επαναχρησιμοποιούσαν ενεργά κώδικα. Συγκεκριμένα, «δανείζονταν» κομμάτια κώδικα από ένα κακόβουλο πρόγραμμα, για να τον χρησιμοποιήσουν σε ένα άλλο.

Πέρα από αυτό, οι ερευνητές μπόρεσαν να εντοπίσουν ομοιότητες στον τρόπο λειτουργίας των επιτιθεμένων. Κατά την ανάλυση αντικείμενων από διάφορες επιθέσεις, ανακάλυψαν ότι όλα τα droppers (ειδικά αρχεία που χρησιμοποιούνται για την εγκατάσταση διαφορετικών παραλλαγών ενός κακόβουλου φορτίου) διατηρούσαν τα ωφέλιμα φορτία τους μέσα σε ένα αρχείο ZIP προστατευμένο με κωδικό. Ο κωδικός πρόσβασης για τα αρχεία που χρησιμοποιούνταν σε διάφορες εκστρατείες ήταν ο ίδιος και ήταν ενσωματωμένος μέσα στο dropper. Η προστασία με κωδικό πρόσβασης τέθηκε σε εφαρμογή, προκειμένου να αποφευχθεί η εξαγωγή και η ανάλυση του ωφέλιμου φορτίου από τα αυτοματοποιημένα συστήματα, αλλά στην πραγματικότητα απλά βοήθησε τους ερευνητές να αναγνωρίσουν την ομάδα.

Μια ειδική μέθοδος που χρησιμοποίησαν οι εγκληματίες για να σβήνουν τα ίχνη της παρουσίας τους από ένα «μολυσμένο» σύστημα, καθώς και κάποιες τεχνικές που χρησιμοποιούνταν για να αποφύγουν τον εντοπισμό τους από τα προϊόντα antivirus, έδωσαν στους ερευνητές πρόσθετα μέσα για την ομαδοποίηση των σχετικών επιθέσεων. Τελικά, δεκάδες διαφορετικές στοχευμένες επιθέσεις, των οποίων οι διαχειριστές είχαν θεωρηθεί άγνωστοι, συνδέθηκαν με έναν ενιαίο απειλητικό φορέα.

Η «γεωγραφία» της Επιχείρησης

Η ανάλυση των ημερομηνιών συλλογής των δειγμάτων έδειξε ότι τα πρώτα θα μπορούσαν να έχουν συνταχθεί ήδη από το 2009, αρκετά χρόνια πριν από την διαβόητη επίθεση εναντίον της Sony Pictures Entertainment. Ο αριθμός των νέων δειγμάτων έχει αυξηθεί δυναμικά από το 2010. Αυτό χαρακτηρίζει την ομάδα Lazarus Group ως έναν σταθερό απειλητικό φορέα με μακρόχρονη δράση. Με βάση τα metadata που προέκυψαν από τα δείγματα που ερευνήθηκαν, τα περισσότερα από τα κακόβουλα προγράμματα που χρησιμοποιούνται από την ομάδα Lazarus Group φαίνεται να έχουν συνταχθεί κατά τη διάρκεια των εργάσιμων ωρών, στις ζώνες ώρας GMT + 8 και GMT+9.

«Όπως είχαμε προβλέψει, ο αριθμός των επιθέσεων που καταστρέφουν δεδομένα μεγαλώνει σταθερά. Αυτό το είδος κακόβουλου λογισμικού αποδεικνύεται ότι είναι ένα εξαιρετικά αποτελεσματικό είδος κυβερνο-όπλου. Η δύναμη να «καθαρίσει» χιλιάδες υπολογιστές με το πάτημα ενός κουμπιού αποτελεί σημαντική ανταμοιβή για μια ομάδα Εκμετάλλευσης Δικτύου Υπολογιστών ,η οποία είναι επιφορτισμένη με δράσεις παραπληροφόρησης και διακοπής της λειτουργίας μιας επιχείρησης-στόχου. Η αξία της ως μέρος ενός «υβριδικού πολέμου», όπου οι επιθέσεις αυτές συνδυάζονται με φυσικές επιθέσεις για την παράλυση των υποδομών μιας χώρας, παραμένει ένα ενδιαφέρον «νοητικό πείραμα», το όποιο όμως βρίσκεται πιο κοντά στην πραγματικότητα από ό,τι φανταζόμαστε – και δεν μπορούμε να αισθανόμαστε άνετα μ’ ένα τέτοιο γεγονός. Μαζί με τους συνεργάτες από τον κλάδο της ασφάλειας, είμαστε περήφανοι που έχουμε καταφέρει ένα ισχυρό πλήγμα στις επιχειρήσεις ενός αδίστακτου φορέα, πρόθυμου να αξιοποιήσει αυτές τις καταστροφικές τεχνικές», δήλωσε ο Juan Guerrero, Senior Security Researcherτης Kaspersky Lab.

«Αυτός ο φορέας έχει τις απαραίτητες ικανότητες και την αποφασιστικότητα να εκτελέσει επιχειρήσεις ψηφιακής κατασκοπίας, με σκοπό την κλοπή δεδομένων ή την πρόκληση ζημιάς. Συνδυάζοντας τα παραπάνω με τη χρήση τεχνικών παραπληροφόρησης και εξαπάτησης, οι επιτιθέμενοι μπορούσαν να υλοποιούν επιτυχώς διάφορες επιχειρήσεις τα τελευταία χρόνια», δήλωσε ο Jaime Blasco, Chief Scientist της AlienVault. «Η«Επιχείρηση Blockbuster»είναι ένα παράδειγμα του πώς ο τομέας μας, με την ανταλλαγή πληροφοριών και τη συνεργασία, μπορεί να θέσει τον πήχη ψηλότερα και να εμποδίζει τέτοιου είδους φορείς από τις συνεχιζόμενες δραστηριότητές τους», συμπλήρωσε.

«Μέσω της «Επιχείρησης Blockbuster», η Novetta,η Kaspersky Labκαι οι συνεργάτες μας, συνεχίζουμε τις προσπάθειες για την καθιέρωση μιας μεθοδολογίας για την παύση των δραστηριοτήτων φορέων επιθέσεων με παγκόσμια εμβέλεια, αλλά και για τον περιορισμό των προσπαθειών τους να προκαλέσουν περαιτέρω ζημιά», σχολίασε ο Andre Ludwig, Senior Technical Director της Novetta Threat Research and Interdiction Group.«Το επίπεδο της εις βάθος τεχνικής ανάλυσης που πραγματοποιήθηκε για την «Επιχείρηση Blockbuster»είναι σπάνιο και το γεγονός ότι μοιραστήκαμε τα ευρήματά μας με άλλους συνεργάτες από τον κλάδο, ώστε να επωφεληθούμε όλοι, είναι ακόμα πιο σπάνιο», κατέληξε.