03/03/2016

Co wiadomo o grupie Lazarus

Zagrożenia

Poranek 24 listopada 2014 roku to z pewnością pamiętny dzień dla pracowników Sony Pictures Entertainment. Nieznany wcześniej cybergang zhakował serwery firmy, powodując wyciek ogromnej ilości poufnych danych, nadszarpując reputację firmy Sony, której odbudowanie stanowi nie lada wyzwanie. FBI podejrzewało hakerów z Korei Północnej. Od tamtej pory niezbyt wiele było wiadomo na temat sprawców. Tak było, aż do teraz.

operation-blockbuster-FB

Firma Kaspersky Lab, Novetta i AlienVault rozpoczęły wspólne śledztwo o nazwie „Operacja Blockbuster”, skupione wokół działalności grupy Lazarus. Uważa się, że to właśnie ten gang jest odpowiedzialny za włamanie się do Sony Pictures oraz serię ataków na znajdujące się w Seulu banki i podmioty odpowiedzialne za rozpowszechnianie treści, które miały miejsce w 2013 roku.

Po cieszących się złą sławą wyciekach z Sony Pictures nasi specjaliści przeanalizowali próbki szkodliwego oprogramowania Destover, co do którego istniało podejrzenie, że jest zaangażowane w ataki. W toku śledztwa wykryto ślady kilkudziesięciu kampanii cybernetycznych, które korzystały z różnych złośliwych programów i które posiadały szereg wspólnych cech.

W trakcie badania firma Kaspersky Lab wykryła nowe szkodliwe oprogramowanie przygotowywane przez tego samego aktora zagrożeń.

Jakie inne aktywności były związane z grupą Lazarus oraz jak je zidentyfikowaliśmy?

Przestępcy ochoczo powracali do swoich sprawdzonych rozwiązań: zapożyczali fragmenty kodu z jednego złośliwego oprogramowania i wdrażali go do innego. Poza tym zdradziły ich droppery – specjalne pliki używane do instalacji różnych odmian szkodliwych programów, które przechowują wszystkie dane w zabezpieczonych archiwach ZIP. Do wielu różnych kampanii stosowano jedno hasło, na stałe zapisane w dropperze.

Ponadto do zacierania śladów swojej obecności z zainfekowanego systemu cyberprzestępcy używali podobnych metod, co także pomogło zidentyfikować tę grupę.

klp_mapa_celow_lazarus

Okazało się, że grupa Lazarus była zaangażowana w szpiegowskie kampanie wojskowe oraz sabotaż działalności instytucji finansowych, stacji medialnych oraz fabryk i manufaktur. Według naszych dotychczasowych ustaleń większość ofiar mieszka w Korei Południowej, Indiach, Chinach, Brazylii, Rosji oraz Turcji. Cyberprzestępcy stworzyli szkodliwe oprogramowanie Hangman (2014-2015) i Wild Positron (znane również jako Duuzer, 2015). Wild Positron był omawiany podczas wydarzenia Security Analyst Summit 2016.

Kaspersky Lab podzielił się wynikiem badań z AlienVault Labs. Ostatecznie badacze z obu firm zdecydowali połączyć siły i przeprowadzić wspólne dochodzenie. Jednocześnie aktywność ugrupowania Lazarus była przedmiotem dochodzenia wielu innych firm i specjalistów ds. bezpieczeństwa IT. Jedna z tych firm, Novetta, podjęła inicjatywę mającą na celu opublikowanie najpełniejszych i umożliwiających podjęcie działań informacji dotyczących aktywności ugrupowania Lazarus jako Operacji Blockbuster, a my cieszymy się, że mogliśmy być jej partnerem.

Co wiemy o tych przestępcach?

Pierwsze próbki szkodliwego oprogramowania utworzonego przez grupę Lazarus sięgają roku 2009. Od roku 2010 liczba nowych próbek wzrastała w dynamiczny sposób, przez co grupę Lazarus można opisać jako stabilnego, długoletniego aktora na scenie cyberzagrożeń. W latach 2014/2015 produktywność grupy była na najwyższym poziomie, a w 2016 roku wciąż jest ona aktywna.

operation-blockbuster-samples-count

Oceniając harmonogram aktywności członków grupy, można założyć, że żyją oni w strefie GMT+8 lub GMT+9. Przestępcy rozpoczynają swoją pracę około północy (00.00 GMT”0″), a przerwę na lunch mają w okolicach godziny 3 nad ranem (GMT”0″). Poza tym jest dość oczywiste, że członkowie grupy są pracoholikami: ich dzień roboczy wynosi średnio 15-16 godzin. Grupa Lazarus jest prawdopodobnie najciężej pracującą grupą APT spośród wszystkich dotychczas poznanych (a w ciągu ostatnich kilku lat mieliśmy okazję przeanalizować ich wiele).

lazarus-group-activity

Jest jeszcze inny ciekawy wniosek. W zestawie próbek związanych z aktywnością grupy Lazarus, które zostały wyselekcjonowane przez organizację Novetta, prawie 2/3 plików wykonywalnych zawierało elementy typowe dla użytkowników posługujących się językiem koreańskim.

Dochodzenie trwa nadal. Więcej informacji o grupie Lazarus oraz nasze ustalenia znajdują się w serwisie Securelist.

Operacja Blockbuster umożliwia uzyskanie więcej informacji przez wszystkie zaangażowane strony na temat tego niebezpiecznego cybergangu. Pracując samodzielnie, nie bylibyśmy w stanie osiągnąć tego rezultatu z bardzo wielu powodów, m.in. ze względu na geograficzne ograniczenia rozwiązań bezpieczeństwa, opracowywane przez różne podmioty. Nasza współpraca daje wspaniały przykład na to, jak wymiana informacji pomaga zidentyfikować prawdziwych przestępców oraz uczynić internet bezpieczniejszym miejscem.