Против группы хакеров Lazarus, атаковавших Sony, развернута масштабная операция

Компании Novetta, «Лаборатория Касперского», AlienVault и Symantec рассказали о проведении совместной операции «Блокбастер» (Operation Blockbuster), направленной на пресечение деятельности группы хакеров Lazarus. По данным специалистов, именно эта группа несет ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Теперь группе Lazarus также приписывают атаки на банки Сеула, СМИ и вооруженные силы Южной Кореи.

По данным специалистов, группа Lazarus существует уже много лет, впервые хакеры проявили активность в 2007-2009 годах. За прошедшее с тех пор время злоумышленники создали более 45 семейств разнообразной малвари, успели «проявить себя» в сфере кибершпионажа, а также в атаках, направленных на уничтожение данных и выведение из строя самых разных систем.

«Лаборатория Касперского» сообщает, что в 2014 году, в ходе атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. Анализ образцов этой малвари показал, что Destover схож с другими семействами вредоносного ПО, которые использовались в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Был сделан вывод, что группа Lazarus существует давно, так как самые ранние версии их вредоносов относятся к 2009 году (по другим данным, к 2007 году).

Хакеров из группы Lazarus теперь также удалось связать с вредоносом DarkSeoul, который атаковал сеульские банки, радио и телевидение, а также с кибератакой Operation Troy, нацеленной на вооруженные силы, СМИ, авиакосмическую промышленность и финансовые организации Южной Кореи. В результате деятельности малвари, созданной Lazarus, также пострадали Тайвань, Бразилия, Мексика, Саудовская Аравия, Турция, Иран, Индия, Россия, Индонезия, Малайзия и Вьетнам.

Связать все эти случаи в единую картину удалось благодаря тому, что Lazarus используют один и тот же вредоносный код по нескольку раз, включая уже применявшиеся фрагменты в новые образцы вредоносов. Кроме того, дропперы злоумышленников почти всегда содержали защищенные паролем ZIP-архивы, в которых хранились пейлоуды. Пароль для этих архивов, замеченных в различных вредоносных кампаниях, всегда был одним и тем же. Очевидно, пароль должен был защитить данные от выгрузки и последующего анализа, но на деле именно он помог экспертам выйти на след группировки и понять, что Lazarus стоят за многими сходными по методам проведения атаками. Также впоследствии удалось заметить, что Lazarus используют одни и те же техники для заметания следов и чтобы избежать обнаружения антивирусными программами.

Эксперты сообщают, что на сегодняшний день группа Lazarus по-прежнему активна, и хакеры работают в часовых поясах GMT+8 и GMT+9.

Подробные аналитические отчеты об операции «Блокбастер» можно найти на официальных сайтах компаний: «Лаборатория Касперского», Symantec, Novetta и AlienVault. Также о результатах исследования деятельности кибергруппировки Lazarus можно почитать на сайте операции: OperationBlockbuster.com.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s