Kartu su „Novetta“ ir kitomis pramonės partnerėmis bendrovė „Kaspersky Lab“ didžiuodamasi praneša apie savo indėlį į „Blockbuster“ operaciją. Jos tikslas – sutrikdyti kenksmingos grupuotės „Lazarus“, atsakingos už duomenų sunaikinimą ir kibernetinio šnipinėjimo operacijas, veiklą. Manoma, kad ši grupuotė 2014 m. surengė išpuolį prieš „Sony Pictures Entertainment“ ir 2013 m. operaciją „DarkSeoul“ prieš žiniasklaidos ir finansų įstaigas. Po katastrofiško 2014 m. išpuolio prieš garsiąją filmų gamybos įmonę „Sony Pictures Entertainment“ (SPE) „Kaspersky Lab“ Globalių tyrimų ir analizės komanda pradėjo kenkėjiškos programos „Destover“ pavyzdžių tyrimą. Tai išaugo į platesnį finansinių institucijų, žiniasklaidos ir gamybos įmonių kibernetinio šnipinėjimo ir sabotažo tyrimą.
Remdamiesi bendromis įvairioms kenkėjiškoms šeimoms būdingomis charakteristikomis, bendrovės ekspertai sugrupavo dešimtis izoliuotų išpuolių ir nustatė, kad jie visi priklauso vienam grėsmės vykdytojui.
„Lazarus“ grupuotė buvo aktyvi prieš kelerius metus prieš incidentą su SPE. „Kaspersky Lab“ ir kiti operacijos „Blockbuster“ tyrimai patvirtina ryšį tarp kenkėjiškų programų, taikomų įvairiose kampanijose, pavyzdžiui, operacijoje „DarkSeoul“ prieš Seule esančius bankus ir transliuotojus, operacijoje „Troy“, nukreiptoje prieš karines pajėgas Pietų Korėjoje, ir „Sony Pictures“ incidento metu. Atlikdami tyrimą „Kaspersky Lab“ ekspertai apsikeitė preliminariomis išvadomis su „AlienVault Labs“. Ilgainiui dviejų bendrovių ekspertai nusprendė suvienyti pastangas ir atlikti bendrą tyrimą. Tuo pat metu „Lazarus“ grupuotės veikla buvo tiriama daugelio kitų įmonių ir saugumo specialistų. Viena iš šių bendrovių „Novetta“ ėmėsi iniciatyvos daugiau papasakoti apie „Lazarus“ grupės veiklą. Kartu su „Novetta“, „AlienVault Labs“ ir kitomis šioje srityje veikiančiomis partnerėmis „Kaspersky Lab“ skelbia savo išvadas visuomenės labui.
Analizuodami kelis kenkėjiškų programų pavyzdžius, pastebėtus įvairiuose kibernetinio saugumo incidentuose, ir sukurdami specialias aptikimo taisykles, „Kaspersky Lab“, „AlienVault“ ir kiti operacijos „Blockbuster“ specialistai sugebėjo nustatyti „Lazarus“ grupės vykdomus išpuolius. Analizuojant taikomus metodus, nustatyta, kad daugybė kenkėjiškos programos pavyzdžių priklauso tai pačiai grupei. Pirmiausia pastebėta, kad užpuolikai aktyviai pakartotinai taikė kodą – vienos kenkėjiškos programos kodo fragmentus taikydami kitose.
Be to, ekspertai pastebėjo užpuolikų veiklos metodų panašumą. Analizuodami įvairių išpuolių artefaktus, jie nustatė, kad visi specialieji failai, naudojami įdiegti įvairius kenkėjiškos programos variantus (ang. Droppers), laikomi slaptažodžiu apsaugotame ZIP archyve. Skirtingose bendrovėse naudojamas archyvų slaptažodis buvo tas pats ir užkoduotas failuose. Slaptažodis apsaugotas siekiant užkirsti kelią automatizuotoms sistemoms pasiekti ir analizuoti failą, bet iš tikrųjų tai tik padėjo ekspertams identifikuoti grupę.
Taikydami specialų metodą nusikaltėliai bandė iš užkrėstos sistemos pašalinti jų pėdsakus kartu su kai kuriais metodais, taikomais siekiant išvengti antivirusinių produktų atpažinimo. Tai taip pat suteikė ekspertams papildomų priemonių susijusiems išpuoliams sugrupuoti. Galų gale dešimtys skirtingų tikslinių išpuolių, kurių vykdytojai buvo laikomi nežinomais, buvo susiję su vienu grėsmės vykdytoju.
Kelių pavyzdžių rengimo datų analizė parodė, kad ši programa galėjo būti sukurta anksčiausiai 2009-aisiais, prieš penkerius metus iki liūdnai pagarsėjusio išpuolio prieš „Sony“. Naujų pavyzdžių skaičius dinamiškai augo nuo 2010 metų. Tai apibūdina „Lazarus“ grupę kaip stabilią, keliančią nuolatinę grėsmę. Remiantis nagrinėtų pavyzdžių metaduomenimis, dauguma „Lazarus“ grupės taikomų kenkėjiškų programų sukurtos darbo valandomis Grinvičo laiku +8–+9 laiko zonose. „Ši grupuotė vykdo kibernetines šnipinėjimo operacijas, siekdama vogti duomenis arba sukelti žalą. Suderinę tai su dezinformacija ir apgaule, per pastaruosius kelerius metus užpuolikai galėjo sėkmingai įvykdyti keletą operacijų, – sakė Jaime Blasco, „AlienVault“ vyriausiasis ekspertas. – Operacija „Blockbuster“ – tai šioje srityje veikiančių bendrovių keitimosi informacija ir bendradarbiavimo pavyzdys, galintis užkirsti kelią šiai kenkėjiškai grupei.“
„Operacijos „Blockbuster“ metu „Novetta“, „Kaspersky Lab“ ir kitos partnerės toliau dės pastangas siekdamos sukurti metodiką, kaip sutrikdyti pasaulyje žinomų užpuolikų grupių veiklą ir sumažinti papildomą žalą, – sakė Andre Liudvikas, „Novetta“ grėsmių tyrimo ir draudimo grupės vyresnysis techninis direktorius. – Operacijos „Blockbuster“ metu buvo atlikta nuodugni techninė analizė, mes pasidalijome išvadomis su partneriais. Taigi toks bendradarbiavimas buvo labai naudingas.“
Paieška archyve
