Kaspersky: Εντόπισαν τους hackers που επιτέθηκαν στη Sony Pictures

02/03/2016 11:13

Η Kaspersky Lab ανακοίνωσε τη συμβολή της, μαζί με τη Novetta και άλλους συνεργάτες από τον ευρύτερο κλάδο της ασφάλειας, στην «Επιχείρηση Blockbuster» η οποία είχε ως στόχο να σταματήσει τη δραστηριότητα της ομάδας Lazarus Group, ενός εξαιρετικά επικίνδυνου κακόβουλου φορέα, που είναι υπεύθυνος για την καταστροφή δεδομένων, καθώς και για παραδοσιακές επιχειρήσεις ψηφιακής κατασκοπείας εναντίον πολλών εταιρειών ανά τον κόσμο. 

 
Οι εν λόγω επιτιθέμενοι θεωρείται ότι βρίσκονται πίσω από την επίθεση στη Sony Pictures Entertainment το 2014, αλλά και την εκστρατεία DarkSeoul, η οποία έβαλε στο στόχαστρο Μέσα Μαζικής Ενημέρωσης και χρηματοπιστωτικά ιδρύματα το 2013.
 
Μετά από τη γνωστή καταστροφική επίθεση εναντίον της Sony Pictures Entertainment (SPE), μιας από τις πιο διάσημες εταιρείες παραγωγής ταινιών, το 2014, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab (GReAT) ξεκίνησε να ερευνά δείγματα του κακόβουλου λογισμικού Destover, το οποίο είχε χρησιμοποιηθεί στην επίθεση, όπως έγινε δημοσίως γνωστό. Αυτό οδήγησε στην έρευνα μιας σειράς συναφών εκστρατειών ψηφιακής κατασκοπείας και δολιοφθοράς, οι οποίες στράφηκαν εναντίον χρηματοπιστωτικών ιδρυμάτων, Μέσων Μαζικής Ενημέρωσης και κατασκευαστικών εταιρειών, μεταξύ των άλλων.
 
Με βάση τα κοινά χαρακτηριστικά που παρατηρήθηκαν σε διαφορετικές οικογένειες κακόβουλων προγραμμάτων, οι ειδικοί της εταιρείας κατάφεραν να ομαδοποιήσουν δεκάδες μεμονωμένες επιθέσεις και να φτάσουν στο συμπέρασμα ότι όλες ανήκουν σε έναν απειλητικό παράγοντα. Αυτό επιβεβαιώθηκε και από την ανάλυση που διεξήγαν και οι άλλοι συμμετέχοντες στην «Επιχείρηση Blockbuster».
 
Ο απειλητικός φορέας Lazarus Group ήταν ενεργός αρκετά χρόνια πριν από το περιστατικό της Sony Pictures Entertainment, ενώ φαίνεται ότι εξακολουθεί να είναι ενεργός. Η Kaspersky Lab και άλλοι συμμετέχοντες στην«Επιχείρηση Blockbuster» επιβεβαιώνουν μια σύνδεση μεταξύ κακόβουλων προγραμμάτων που χρησιμοποιήθηκαν σε διάφορες εκστρατείες, όπως η επιχείρηση DarkSeoul κατά τραπεζών και ραδιοτηλεοπτικών φορέων με έδρα τη Σεούλ, η επιχείρηση Troy που στόχευε στρατιωτικές δυνάμεις στη Νότια Κορέα και το περιστατικό της Sony Pictures Entertainment.
 
Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Lab αντάλλαξαν προκαταρκτικά ευρήματα με την AlienVault Labs. Σταδιακά, οι ερευνητές και από τις δύο εταιρείες αποφάσισαν να ενώσουν τις δυνάμεις τους και να διεξάγουν την έρευνα από κοινού. Ταυτόχρονα, η δραστηριότητα της ομάδας Lazarus Group έγινε αντικείμενο έρευνας από πολλές άλλες εταιρείες και ειδικούς ασφάλειας. Μία από αυτές τις εταιρείες, η Novetta, ξεκίνησε μια πρωτοβουλία με στόχο την δημοσίευση της πιο εκτενούς και αξιοποιήσιμης πληροφόρησης σχετικά με τη δραστηριότητα του Lazarus Group. Ως μέρος της «Επιχείρησης Blockbuster», μαζί με τη Novetta, την AlienVault Labs και άλλους συνεργάτες από τον κλάδο, η Kaspersky Lab δημοσιεύει τα ευρήματά της προς όφελος του ευρύτερου κοινού.
 
Αναλύοντας πολλαπλά δείγματα κακόβουλου λογισμικού που εντοπίστηκαν σε διαφορετικά περιστατικά ψηφιακής ασφάλειας και δημιουργώντας ειδικούς κανόνες εντοπισμού, η Kaspersky Lab, η AlienVault και άλλοι ειδικοί της Επιχείρησης «Blockbuster» κατάφεραν να εντοπίσουν μια σειρά επιθέσεων από την ομάδα Lazarus Group.
 
Η σύνδεση και η ομαδοποίηση πολλαπλών δειγμάτων σε μία μόνο ομάδα προέκυψε κατά την ανάλυση των μεθόδων που χρησιμοποιούνται από αυτόν τον φορέα. Ειδικότερα, ανακαλύφτηκε ότι οι επιτιθέμενοι επαναχρησιμοποιούσαν ενεργά κώδικα. Συγκεκριμένα, «δανείζονταν» κομμάτια κώδικα από ένα κακόβουλο πρόγραμμα, για να τον χρησιμοποιήσουν σε ένα άλλο.
 
Πέρα από αυτό, οι ερευνητές μπόρεσαν να εντοπίσουν ομοιότητες στον τρόπο λειτουργίας των επιτιθεμένων. Κατά την ανάλυση αντικείμενων από διάφορες επιθέσεις, ανακάλυψαν ότι όλα τα droppers (ειδικά αρχεία που χρησιμοποιούνται για την εγκατάσταση διαφορετικών παραλλαγών ενός κακόβουλου φορτίου) διατηρούσαν τα ωφέλιμα φορτία τους μέσα σε ένα αρχείο ZIP προστατευμένο με κωδικό. Ο κωδικός πρόσβασης για τα αρχεία που χρησιμοποιούνταν σε διάφορες εκστρατείες ήταν ο ίδιος και ήταν ενσωματωμένος μέσα στο dropper. Η προστασία με κωδικό πρόσβασης τέθηκε σε εφαρμογή, προκειμένου να αποφευχθεί η εξαγωγή και η ανάλυση του ωφέλιμου φορτίου από τα αυτοματοποιημένα συστήματα, αλλά στην πραγματικότητα απλά βοήθησε τους ερευνητές να αναγνωρίσουν την ομάδα.
 
Μια ειδική μέθοδος που χρησιμοποίησαν οι εγκληματίες για να σβήνουν τα ίχνη της παρουσίας τους από ένα «μολυσμένο» σύστημα, καθώς και κάποιες τεχνικές που χρησιμοποιούνταν για να αποφύγουν τον εντοπισμό τους από τα προϊόντα antivirus, έδωσαν στους ερευνητές πρόσθετα μέσα για την ομαδοποίηση των σχετικών επιθέσεων. Τελικά, δεκάδες διαφορετικές στοχευμένες επιθέσεις, των οποίων οι διαχειριστές είχαν θεωρηθεί άγνωστοι, συνδέθηκαν με έναν ενιαίο απειλητικό φορέα.