Kaspersky Lab detalla investigación para bloquear al Grupo Lazarus

96

Se trata de una entidad altamente maliciosa responsable de la destrucción de datos, así como de operaciones de espionaje cibernético convencionales contra varias empresas de todo el mundo, incluyendo México y Brasil. Se cree que son los mismos detrás del ataque a Sony Pictures Entertainment en 2014.

Junto con Novetta y otros socios de la industria, Kaspersky Lab anunció su contribución con la Operación Blockbuster, que tuvo como objetivo interrumpir la actividad del Grupo Lazarus.

Después de un ataque devastador contra Sony Pictures Entertainment (SPE) en 2014, el Equipo de Análisis e Investigación Global de Kaspersky Lab comenzó su investigación con muestras del malware Destover nombrado públicamente tal como se usó en el ataque. Ésta condujo a una más amplia de un grupo de campañas afines de ciberespionaje y cibersabotaje dirigidas a instituciones financieras, estaciones de medios de comunicación y empresas de manufactura, entre otras.

Con base en las características comunes de las diferentes familias de malware, los expertos de la compañía agruparon decenas de ataques aislados y determinaron que todos pertenecían a un solo actor, como también lo confirmaron otros participantes de la Operación Blockbuster según sus propios análisis.

El actor de la amenaza Grupo Lazarus ya estaba activo varios años antes del incidente de SPE, y al parecer aún está activo. Kaspersky Lab y otra investigación de la Operación Blockbuster confirma una conexión entre el malware utilizado en diversas campañas, como la operación DarkSeoul contra bancos y organismos de radiodifusión en Seúl, Operación Troya con objetivos en las fuerzas militares en Corea del Sur, y el incidente de Sony Pictures.

Mediante el análisis de múltiples muestras de malware detectadas en diferentes incidentes de seguridad cibernética y también mediante la creación de reglas especiales de detección, Kaspersky Lab, AlienVault y otros especialistas de la Operación Blockbuster fueron capaces de identificar una serie de ataques que se le atribuyen al Grupo Lazarus.

Se encontró el vínculo de múltiples muestras con un mismo grupo durante el análisis de los métodos utilizados por este actor. En particular, se descubrió que los atacantes estaban reutilizando código de manera activa, tomando prestados fragmentos de código de un programa malicioso para utilizarlo en otro.

Además de eso, los investigadores fueron capaces de detectar similitudes en el modus operandi de los atacantes. Al analizar artefactos de diferentes ataques, descubrieron que los instaladores o droppers–archivos especiales que se utilizan para instalar diferentes variaciones de una carga maliciosa– conservaban sus cargas dentro de un archivo ZIP protegido por contraseña. La contraseña para los archivos utilizados en diferentes campañas era la misma y estaba preprogramada en el interior del instalador. La protección por contraseña se utilizaba con el fin de evitar que los sistemas automatizados extrajeran y analizaran la carga útil, pero en realidad ayudó a los investigadores para identificar al grupo.

Un método especial utilizado por los delincuentes para tratar de borrar las huellas de su presencia en un sistema infectado, junto con algunas de las técnicas que utilizaron para evitar ser detectados por los productos antivirus, también dio a los investigadores medios adicionales para agrupar ataques relacionados. Finalmente, decenas de diferentes ataques selectivos, cuyos operadores se habían considerado desconocidos, se vincularon con un solo actor.

Geografía de la operación

El análisis de las fechas de compilación de muestras mostró que las primeras podrían haber sido compiladas en 2009, cinco años antes del ataque infame contra Sony. El número de muestras nuevas ha crecido de forma dinámica desde 2010. Esto caracteriza al Grupo Lazarus como un actor de amenazas estable y antiguo. Con base en los metadatos extraídos de las muestras investigadas, la mayor parte de los programas maliciosos utilizados por el Grupo Lazarus parecen haber sido compilados durante las horas de trabajo de las zonas horarias del tiempo medio de Greenwich +8 – +9.
“Tal como lo predijimos, el número de ataques tipo wiper crece de manera constante. Este tipo de malware resulta ser un arma cibernética muy eficaz. El poder para borrar miles de computadoras con sólo oprimir un botón representa una recompensa significativa para un equipo de Explotación de Red Informática cuya tarea es la desinformación e interrupción de una empresa objetivo. Su valor como parte de la guerra híbrida, donde los ataques de borrado se suman a los ataques cinéticos para paralizar la infraestructura de un país, sigue siendo un experimento interesante más cercano de la realidad de lo que nos podría gustar. Junto con nuestros socios de la industria, tenemos el orgullo de haber hecho mella en las operaciones de un actor sin escrúpulos dispuesto a aprovechar estas técnicas devastadoras”, dijo Juan Guerrero, Investigador Sénior de Seguridad en Kaspersky Lab.

“A través de la Operación Blockbuster, Novetta, Kaspersky Lab y nuestros socios trabajan de manera incesante para establecer una metodología para interrumpir las operaciones de los grupos de ataque de importancia mundial, y tratar de mermar sus esfuerzos para infligir un daño mayor”, dijo Andre Ludwig, Director Técnico Senior de Novetta Threat Research and Interdiction Group. “El nivel de análisis técnico detallado llevado a cabo en la Operación Blockbuster es raro, y compartir nuestros hallazgos con socios de la industria, para que todos nos beneficiemos de una mayor comprensión, es aún más raro”.

Más información

https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/

www.OperationBlockbuster.com

Autor