Lazarus Group foi desactivado

Após o ataque contra a Sony Pictures Entertainment em 2014, a equipa de analistas da Kaspersky Lab (GReAT) começou a investigar amostras do malware Destover utilizado neste ataque. Esta...
KL-Operation-Blockbuster-01

Após o ataque contra a Sony Pictures Entertainment em 2014, a equipa de analistas da Kaspersky Lab (GReAT) começou a investigar amostras do malware Destover utilizado neste ataque.

Esta investigação conduziu a uma análise mais ampla a outras actividades de ciberespionagem e cibersabotagem dirigidas a instituições financeiras, meios de comunicação e fabricantes, entre outros.

Baseando-se nas características comuns das diferentes famílias de malware, a Kaspersky Lab, em conjunto com os demais participantes da Operação Blockbuster, conseguiu agrupar dezenas de ataques isolados e determinar que todos pertenciam ao mesmo grupo cibercriminoso.

O Lazarus Group já estava activo há vários anos antes do incidente da Sony Pictures e, depois de analisar o malware, os peritos confirmaram a conexão do incidente de Sony com a Operação DarkSeoul dirigida a bancos e meios de comunicação de Seul e com a Operação Troy perpetrada contra as forças militares da Coreia do Sul.

Durante a análise, os investigadores da Kaspersky Lab partilharam as primeiras descobertas com a AlienVault Labs, a fim de levar a cabo uma investigação conjunta. Ao mesmo tempo, outras empresas e especialistas de segurança também seguiam a actividade do Lazarus Group e uma delas, a Novetta, começou a publicar informação de inteligência sobre as operações deste grupo cibercriminoso.

Como parte da Operação Blockbuster, a Kaspersky Lab, com a Novetta, AlienVault Labs e outros parceiros da indústria de segurança, tornaram públicos os principais dados desta investigação.

Os investigadores da Operação Blockbuster conseguiram identificar alguns ataques dirigidos por este grupo de cibercriminosos. Os pontos de ligação entre as amostras e o grupo cibercriminoso foram descobertos durante a análise aos métodos utilizados. Os peritos concluíram que esta organização reutilizou código, utilizando fragmentos de alguns programas maliciosos para utilizá-los noutros.

Enquanto analisavam os diferentes tipos de ataques, descobriram que os droppers – ficheiros especiais utilizados para instalar código malicioso adicional – mantinham os seus componentes num ficheiro ZIP protegido com passwords já utilizadas anteriormente. A protecção por password era usada para evitar que os sistemas de segurança extraíssem e analisassem o conteúdo automaticamente. No entanto, isto acabou por ajudar a que os analistas os identificassem.

Com efeito, o método usado pelos cibercriminosos para eliminar o seu rasto depois de infectar um sistema, em conjunto com as técnicas para evitar a detecção dos antivírus, deu aos analistas mais pistas sobre os seus ataques. Deste modo, dezenas de ataques dirigidos e de carácter desconhecido acabaram por ser vinculados ao mesmo autor.

A análise às datas das amostras demonstrou que estes ataques já tinham sido perpetrados em 2009, cinco anos antes do ataque à Sony. O número de novas amostras cresceu rapidamente desde 2010, demonstrando que o Lazarus Group representava uma ameaça estável.

Via Kaspersky Lab.

Categorias
NotíciasSegurança

Terra. Europa. Portugal. Lisboa. Elite: Dangerous. Blade Runner. Star Trek. Star Wars. Kraftwerk. Project Pitchfork. Joe Hisaishi. Studio Ghibli.
Assinaturas

ARTIGOS RELACIONADOS

Newsletter PCGuia
Subscreva a newsletter da PCGuia para ficar a par das últimas notícias, dicas e análises de hardware e software.
Subscrever
close-link