Для атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. «Лаборатория Касперского» проанализировала образцы этого зловреда и обнаружила его сходство с другими семействами вредоносного ПО, которое использовалось в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Таким образом, этот анализ позволил установить, что группировка Lazarus начала свою деятельность задолго до нападения на Sony Pictures Entertainment. Так, самый ранний из образцов вредоносного ПО, вероятно, был создан в 2009 году, за пять лет до атаки на кинокомпанию, а с 2010 года число новых образцов стремительно увеличивалось. Это подтвердили и другие участники операции Blockbuster.
Расследование позволило обнаружить целый ряд атак, за организацией которых стояла группировка Lazarus. Вредоносное ПО, сходное с тем, которое использовалось в атаке на Sony Pictures Entertainment, применялось также в кампании DarkSeoul, направленной на сеульские банки, радио и телевидение, и в операции Operation Troy, нацеленной на вооруженные силы Южной Кореи.
Найти связь между разными образцами зловредов и вычислить использующую их кибергруппировку удалось благодаря анализу методов, применяемых атакующими. Например, Lazarus использует один и тот же вредоносный код по нескольку раз, включая уже применявшиеся фрагменты в новые образцы.
Кроме того, эксперты обнаружили, что дропперы – специальные файлы, используемые атакующими для установки полезной нагрузки зловредов – хранили эту самую полезную нагрузку в ZIP-архиве, защищенном паролем. И пароль для архивов, замеченных в различных вредоносных кампаниях, всегда был одним и тем же. Вероятно, атакующие рассчитывали, что пароль поможет защитить данные от выгрузки и анализа, но в действительности именно это и помогло напасть на след кибергруппировки и понять, что именно она стоит за многими сходными по методам проведения атаками.
Наконец, группировку Lazarus выдали особые методы стирания следов своего присутствия в зараженных системах, а также техники, с помощью которых они избегали детектирования антивирусными программами. В итоге десятки различных целевых атак, организаторы которых до недавнего времени были неизвестны, свелись к одному источнику – Lazarus.
Группировка до сих пор активна и, как выяснили эксперты, проанализировав время создания большинства зловредов, работает в часовых поясах GMT+8 и GMT+9.
«Атаки, выводящие из строя целые IT-инфраструктуры организаций, происходят все чаще и становятся крайне эффективным кибероружием в руках злоумышленников. Возможность прекратить работу одновременно тысяч компьютеров путем нажатия всего лишь одной кнопки дает большие преимущества организаторам кибератак, чьей целью является нанесение физического вреда конкретному предприятию. А использование подобных атак в совокупности с физическим оружием и вовсе способно парализовать инфраструктуру целой страны – и подобный сценарий гораздо реалистичнее, чем нам может казаться. Именно поэтому вместе с другими представителями индустрии мы наносим удар по этой угрозе и стоящей за ней группировке, использующей столь разрушительные методы», – поясняет Хуан Герреро, антивирусный эксперт «Лаборатории Касперского».
«Атакующие обладают необходимыми навыками и полны решимости использовать операции кибершпионажа не только для кражи данных, но и для причинения физического ущерба. Добавив к этому тактику дезинформирования жертвы, за последние годы они смогли успешно провернуть несколько таких операций, – рассказывает Джейми Бласко, главный исследователь AlienVault. – Операция Blockbuster – это пример того, как сотрудничество и обмен информацией внутри индустрии позволяют поднять планку в расследовании киберугроз и препятствуют тому, чтобы атакующие продолжали свою опасную деятельность».
«В рамках операции Blockbuster компания Novetta, «Лаборатория Касперского» и все наши партнеры работают над тем, чтобы пресечь атаки, за которыми стоят столь опасные для всего мира группировки, а также предотвратить дальнейший ущерб от их деятельности, – отмечает Андре Людвиг, старший технический директор группы исследования и предотвращения угроз компании Novetta. – Уровень, на котором был проведен технический анализ угрозы в ходе операции Blockbuster, редко достижим, а обмен информацией между партнерами в индустрии, от которого выигрывают все стороны, еще более редкое явление».