Kopā ar Novetta un citiem sadarbības partneriem nozarē Kaspersky Lab ar lepnumu paziņo par savu ieguldījumu operācijā Blockbuster. Šīs operācijas mērķis ir sagraut Lazarus Group darbību — tā ir sevišķi ļaundabīga organizācija, kas ir atbildīga par datu iznīcināšanu, kā arī par parastām kiberspiegošanas darbībām pret daudziem uzņēmumiem visā pasaulē. Tiek uzskatīts, ka šie uzbrucēji ir veikuši pret Sony Pictures Entertainment vērsto triecienu 2014. gadā un operāciju DarkSeoul, kas bija vērsta pret plašsaziņas līdzekļiem un finanšu institūcijām 2013. gadā.

Pēc postošā uzbrukuma slavenajai kinostudijai Sony Pictures Entertainment (SPE) 2014. gadā Kaspersky Lab Globālā pētniecības un analīzes grupa (GReAT) sāka izmeklēt ļaunprogrammatūras Destover paraugus, par ko publiski tika minēts, ka tā ir izmantota uzbrukumā. Tas izraisīja cita starpā pret finanšu institūcijām, plašsaziņas līdzekļu stacijām un ražošanas uzņēmumiem vērstu saistīto kiberspiegošanas un kibersabotāžas kampaņu kopas plašāku pētījumu.

lazarus_map

Pamatojoties uz ļaunprogrammatūru ģimeņu kopīgajām iezīmēm, uzņēmuma eksperti sagrupēja desmitiem atsevišķu uzbrukumu un noteica, ka tos visus ir paveicis viens draudu izpildītājs, ko savā analīzē apstiprināja arī citi operācijas Blockbuster dalībnieki.

Draudu izpildītājs Lazarus Group ir bijis aktīvs jau vairākus gadus pirms SPE incidenta, un šķiet, ka tas ir aktīvs joprojām. Kaspersky Lab un citi operācijas Blockbuster pētījumi apstiprina saikni starp ļaunprogrammatūrām, kas ir izmantotas vairākās kampaņās, piemēram, operācijā DarkSeoul pret Seulā izvietotām bankām un raidorganizācijām, operācijā Troy pret Dienvidkorejas bruņotajiem spēkiem un Sony Pictures incidentā.

Izmeklēšanas gaitā Kaspersky Lab pētnieki apmainījās ar sākotnējiem secinājumiem ar AlienVault Labs. Ar laiku abu uzņēmumu pētnieki nolēma apvienot spēkus un veikt kopīgu izmeklēšanu. Vienlaikus Lazarus Group darbību pētīja arī daudzi citi uzņēmumi un drošības speciālisti. Viens no šiem uzņēmumiem, Novetta, aizsāka iniciatīvu, kuras mērķis ir publicēt visplašāko tiesvedībā izmantojamo informāciju par Lazarus Group darbību. Sabiedrības interesēs operācijas Blockbuster ietvaros kopā ar Novetta, AlienVault Labs un citiem sadarbības partneriem nozarē Kaspersky Lab publicē arī savus secinājumus.

Ar adatām pilna siena kaudze

Izanalizējot daudzus ļaunprogrammatūru paraugus, kas ir pamanīti dažādos kiberdrošības incidentos, un izstrādājot īpašus konstatēšanas noteikumus, Kaspersky Lab, AlienVault un citi operācijas Blockbuster speciālisti varēja identificēt vairākus uzbrukumus, ko veikusi Lazarus Group.

Vairāku paraugu saikne ar vienu grupu tika konstatēta, izanalizējot šī izpildītāja metodes. Piemēram, tika atklāts, ka uzbrucēji mēdz atkārtoti izmantot kodu — aizņemties koda fragmentus no vienas ļaunprogrammatūras, lai izmantotu citā.

Turklāt pētniekiem izdevās saskatīt līdzību uzbrucēju darbības veidā. Analizējot uzbrukumu artefaktus, viņi atklāja, ka visi nometēji — īpašas datnes, ko izmanto, lai instalētu dažādus ļaunsatura variantus, — glabā ļaunsaturu ar paroli aizsargātā ZIP arhīvā. Vairākās kampaņās izmantotajiem arhīviem bija viena un tā pati parole, kas bija stingri iekodēta nometējā. Aizsardzība ar paroli bija ieviesta, lai nepieļautu, ka automātiskās sistēmas iegūst un izanalizē šo saturu, taču patiesībā tieši tā palīdzēja pētniekiem identificēt grupu.

Īpaša metode, ko noziedznieki izmantoja, lai likvidētu savas klātbūtnes pēdas inficētajā sistēmā, kopā ar dažiem paņēmieniem, ko viņi lika lietā, lai paliktu apslēpti antivīrusu programmām, arī deva pētniekiem papildu iespējas sagrupēt saistītos uzbrukumus. Galu galā desmitiem mērķuzbrukumu, kuru veicēji tika uzskatīti par nezināmiem, tika saistīti ar vienu draudu izpildītāju.

Operācijas ģeogrāfija

Paraugu kompilēšanas datumu analīze parādīja, ka vissenākie varētu būt kompilēti jau 2009. gadā — piecus gadus pirms bēdīgi slavenā uzbrukuma Sony. Jaunu paraugu skaits ir strauji audzis kopš 2010. gada. Tas liecina, ka Lazarus Group ir stabils un ilgstošs draudu izpildītājs. No pētāmajiem paraugiem iegūtie metadati norāda, ka lielākā daļa Lazarus Group izmantoto ļaunprogrammatūru varētu būt kompilēta GMT+8 un GMT+9 laika zonas darbalaikā.

«Kā jau mēs prognozējām, noslaucīšanas uzbrukumu skaits nepārtraukti aug. Šāda tipa ļaunprogrammatūras ir izrādījušās ļoti efektīvs kiberieroču veids. Spēja noslaucīt tūkstošiem datoru, nospiežot pogu, ir vērtīga balva datortīkla izmantošanas komandai, kuras uzdevums ir dezinformēšana un mērķuzņēmuma graušana. Tā nozīme hibrīdkara ietvaros, kad noslaucīšanas uzbrukumi tiek apvienoti ar kinētiskajiem uzbrukumiem, lai paralizētu valsts infrastruktūru, joprojām ir iztēles eksperiments, kas ir tuvāks īstenībai, nekā mums patiktu. Kopā ar sadarbības partneriem nozarē mēs ar lepnumu iecērtam robu bezprincipiālā izpildītāja darbībā, kurš vēlas likt lietā šos postošos paņēmienus,» sacīja Kaspersky Lab vecākais drošības pētnieks Huans Gerrero.

«Šim izpildītājam ir vajadzīgās prasmes un apņēmība veikt kiberspiegošanas darbības, lai zagtu datus vai nodarītu kaitējumu. Apvienojot to ar dezinformēšanas un dezorientēšanas paņēmieniem, pēdējos gados uzbrucējiem ir izdevies sekmīgi uzsākt vairākas operācijas,» sacīja AlienVault galvenais zinātnieks Haime Blasko. «Operācija Blockbuster ir piemērs tam, kā informācijas apmaiņa un sadarbība nozarē var paaugstināt barjeru un kavēt šī izpildītāja turpmāko darbību.»

«Novetta, Kaspersky Lab un mūsu sadarbības partneri ar operāciju Blockbuster turpina centienus izveidot metodiku globāli nozīmīgu uzbrukuma grupu darbības graušanai un mēģinājumus mazināt to centienus nodarīt vēl lielāku kaitējumu,» sacīja Novetta Draudu izpētes un nepieļaušanas grupas vecākais tehniskais direktors Andrē Ludvigs. «Operācijā Blockbuster veiktās padziļinātās tehniskās analīzes līmenis ir reti sastopams, un dalīšanās atklājumos ar mūsu nozares partneriem, lai mēs visi būtu ieguvēji no padziļinātas izpratnes, ir sastopama vēl retāk.»

Lai vairāk uzzinātu par Kaspersky Lab atzinumiem saistībā ar Lazarus Group, apmeklējiet Securelist.com.

Lai vairāk uzzinātu par Novetta atzinumiem saistībā ar Lazarus Group, apmeklējiet www.OperationBlockbuster.com.

Komentāri 1

Leave a Reply

  • smaragds
    February 27, 2016, 10:44

    Karspersky vareetu beigt gruuzt pikji reklaamrakstos :)
    Veemiens naak no tiem karspersky jau