A manhã do dia 24 de novembro de 2014 está gravada nas memórias dos funcionários da Sony Pictures Entertainment. Nesse dia, um grupo de cibercriminosos desconhecido hackeou o servidor da empresa. O FBI suspeitou de hackers norte coreanos. Desde então, não se soube muito mais sobre os criminosos.
A Kaspersky Lab, em colaboração com a Novetta e a AlienVault, conduziu uma investigação (nomeada Operação Blockbuster) sobre as atividades do grupo Lazarus. Acredita-se que essa gangue seja a responsável por hackear a Sony Pictures e diversos ataques à bancos com sede em Seoul ocorridos em 2013.
Depois do grande vazamento na Sony Pictures, especialistas analisaram amostras do malware Destroyer publicamente, pois acreditava-se que estava envolvido no ataque. Os estudos revelaram traços de dezenas de cibercampanhas que usaram diferentes amostras do malware com várias características comuns.
Graças à essa investigação, a Kaspersky Lab foi capaz de identificar proativamente os novos malwares produzidos pelo mesmo autor.
Quais outras ações foram cometidas pelo Grupo Lazarus e como identificá-los?
Os hackers estão reusando ativamente o que já desenvolveram: pegam emprestado fragmentos de códigos de programas maliciosos e os implementam em outros. Além disso, os droppers – arquivos especiais para instalar variações diferentes de carga maliciosa – mantêm todos os dados dentro de um arquivo ZIP protegido. A senha era a mesma em diversas campanhas diferentes. Na verdade, ela estava codificada no dropper.
Até os métodos que os criminosos usaram para eliminar rastros de sua presença dos sistemas infectados foram úteis para identificar o grupo.
http://twitter.com/kaspersky/status/698175098260480000/photo/1
A investigação revelou que o Grupo Lazarus estava envolvido em campanhas de espionagem militar e sabotagem de operações de instituições financeiras, estúdios de mídia e empresas de manufatura. Até onde sabemos, a maioria das vítimas residiam na Coréia do Sul, Índia, China, Brasil, Rússia e Turquia. Esses criminosos criaram malwares como o Hangman (2014-2905) e Wild Pósitron (também conhecido como Duuzer, 2015).
A Kaspersky Lab compartilhou os resultados da investigação com os Laboratórios AlienVault. Os pesquisadores das duas empresas decidiram unir seus esforços e conduzir uma investigação conjunta. No fim, as atividades do Grupo Lazarus também estavam sendo investigadas por outras empresas e especialistas em segurança. Uma delas, a Novetta, desenvolveu uma linha de investigação que coincidia com parte da “Operação Blockbuster“, e nós ficamos felizes em ajudar.
O que sabemos sobre esses criminosos?
A primeira ameaça produzida pelo Grupo Lazarus foi em 2009. Desde de 2010, o número cresceu dinamicamente. Isso caracteriza o Grupo Lazarus como um autor experiente e de ameaças estáveis. Em 2014-2015, a produtividade atingiu um pico e os criminosos continuam ativos em 2016.
Julgando pelos horários das atividades dos membros, vivem no GMT+8 ou GMT+9. Criminosos começam a trabalhar por volta da meia noite (00h GMT) e param para almoçar por volta de 3 da manhã GMT. Além disso, é claro que os membros da gangue são muito trabalhadores: seus dias úteis duram de 15-16 horas. O Grupo Lazarus é provavelmente um dos mais empenhados, especializados em APT que conhecemos (e já estudamos muitos nos últimos anos).
Existe outra observação interessante. Julgando pelas amostras do Grupo Lazarus, reunidas pela Novetta, quase dois terços dos arquivos executáveis dos cibercriminosos incluíam elementos típicos de falantes de coreano.
A investigação ainda está em desenvolvimento. Você pode ler sobre o Grupo Lazarus e nossas descobertas no Securelist.
A Operação Blockbuster ajudou todas as partes envolvidas a descobrir mais sobre esses perigosos cibercriminosos. Não teríamos sido capazes de chegar nesses resultados sozinhos por diversas razões, incluindo distribuição geográfica de soluções de segurança, desenvolvidas por companhias diferentes. Nossa colaboração é um ótimo exemplo de como compartilhar informações ajudam na identificação de criminosos reais e torna a Internet um lugar mais seguro.