La mattina del 24 novembre 2014 è indelebile nella memoria collettiva degli impiegati della Sony Pictures Entertainment. Quel giorno, una cybergang sconosciuta violò il server della compagnia, fece trapelare una marea di dati riservati e diede molto da fare alla Sony per recuperare la sua reputazione. L’FBI sospettò di hacker nordcoreani. Da allora, non si è saputo molto sui colpevoli, almeno fino a oggi.
Kaspersky Lab ha collaborato con Novetta e AlienVault a un’indagine congiunta (chiamata Operazione Blockbuster) sull’attività del gruppo Lazarus. Questa banda è ritenuta responsabile dell’attacco alla Sony Pictures e di un numero di altri attacchi ai danni di banche ed emittenti di Seoul, avvenuti nel 2013.
Dopo la nota violazione alla Sony Pictures, i nostri specialisti hanno analizzato campioni del malware Destover, identificato pubblicamente in quanto implicato nell’attacco. Gli studi hanno rivelato tracce di decine di campagne informatiche che usavano diversi campioni di malware con una serie di caratteristiche comuni.
New Version of #Destover #Malware Signed by Stolen @Sony Certificate – http://t.co/mDq0ZRgUgp
— Threatpost (@threatpost) December 9, 2014
Grazie a quest’indagine, Kaspersky Lab è stato in grado di scoprire in maniera proattiva il nuovo malware prodotto dal medesimo autore.
Cos’altro ha fatto Lazarus e come lo abbiamo identificato?
Gli hacker stavano riutilizzando attivamente le loro elaborazioni: trasferivano frammenti di un codice da un programma indesiderato e lo inserivano in un altro. Inoltre i dropper (gli speciali file usati per installare diverse variazioni di un payload dannoso), erano tutti conservati all’interno di un archivio ZIP protetto. La password era unica e uguale in molte campagne differenti. Difatti, era inserita nel dropper.
Anche i metodi utilizzati dai criminali per cancellare le tracce della loro presenza da un sistema infetto erano simili, il che ha aiutato a identificare il gruppo.
Evidence suggests @Sony hackers are alive & well and still #hacking https://t.co/uEgsLcrOUP #infosec #TheSAS2016 pic.twitter.com/fzcpD7aUOL
— Kaspersky (@kaspersky) February 12, 2016
L’indagine ha rivelato che Lazarus era coinvolto in campagne di spionaggio militare e che ha sabotato operazioni di istituzioni finanziarie, sedi di telecomunicazioni e aziende manifatturiere. Per quel che ne sappiamo, la maggioranza delle vittime risiede in Corea del Sud, India, Cina, Brasile, Russia e Turchia. Questi delinquenti hanno creato malware come Hangman (2014-2015) e Wild Positron (conosciuto anche come Duuzer, 2015). Wild Positron è stato oggetto di discussione al Security Analyst Summit 2016.
Kaspersky Lab ha condiviso i risultati dell’indagine con AlienVault Labs. Alla fine, i ricercatori delle due aziende hanno deciso di unire le forze e di condurre un’indagine congiunta. È risultato che molte altre compagnie ed esperti di sicurezza stavano svolgendo ricerche sulle attività di Lazarus. Una di queste compagnie, Novetta, ha promosso un’iniziativa al fine di pubblicare i risultati della nostra indagine come parte della “Operazione Blockbuster“, e siamo stati felici di sostenerla.
Is North Korea Really Behind the Sony Breach?: https://t.co/nb46bzxZXk pic.twitter.com/6nZ4m8Yg0z
— Kaspersky (@kaspersky) December 20, 2014
Cosa sappiamo di questi criminali?
I primi campioni di malware prodotti risalgono al 2009. A partire dal 2010 il numero di nuovi campioni è cresciuto a ritmo sostenuto, per questo si può definire Lazarus stabile e durevole. Nel biennio 2014-2015, la produttività del gruppo ha raggiunto il suo massimo volume e, ad oggi, nel 2016, i criminali sono ancora attivi.
A giudicare dal programma d’attività dei membri della banda, vivono nella zona oraria GMT+8 o GMT+9. I criminali iniziano a lavorare intorno a mezzanotte (ora di Greenwich) e fanno una pausa pranzo intorno alle 3. Inoltre, è chiaro pure che siano degli stacanovisti: la loro giornata lavorativa dura 15, 16 ore. Lazarus è probabilmente il gruppo APT più solerte tra quelli che conosciamo (e ne abbiamo studiati un sacco nel corso degli ultimi anni).
Un’altra osservazione interessante: a giudicare dal set di campione di riferimento del gruppo, compilato da Novetta, quasi due terzi dei file eseguibili dei cybercriminali, includono elementi caratteristici degli utenti di lingua coreana.
L’indagine è ancora in corso. Potete saperne di più su Lazarus e sulle nostre conclusioni su Securelist.
L’Operazione Blockbuster ha aiutato tutte le parti coinvolte a scoprire molto su questa pericolosa cybergang. Per una serie di motivi, compresa la distribuzione geografica delle soluzioni di sicurezza, sviluppate da diverse compagnie, da soli non saremmo riusciti a ottenere gli stessi risultati. La nostra collaborazione dimostra come la condivisione di informazioni aiuti a identificare i veri criminali e a rendere Internet un luogo più sicuro.