Спонсируемую государством группу хакеров, предположительно причастную к атаке на Sony Pictures Entertainment в 2014 году, удалось связать с аналогичными вторжениями в сети ряда южнокорейских компаний, в том числе с атаками DarkSeoul и Operation Troy.

Участники ИБ-альянса Operation Blockbuster: «Лаборатория Касперского», Novetta, AlienVault, Invincea, ThreatConnect, Volexity, Symantec и PunchCyber — опубликовали результаты исследования целевых атак так называемой Lazarus Group, а также сигнатуры для используемого ею вредоносного ПО. Авторы публикаций надеются, что широкая гласность поможет пресечь деятельность этой APT-группы.

По свидетельству «Лаборатории Касперского», используемые Lazarus зловреды, в том числе деструктивный стиратель Destover, имеют схожие черты и засветились в десятках кибератак, в том числе в нападении на Sony Pictures Entertainment. Полтора года назад этот гигант киноиндустрии пережил сокрушительную атаку, в результате которой в Сеть были слиты не только конфиденциальные письма, но также объекты авторских прав: сценарии, новые замыслы и только что отснятые фильмы.

APT-группа Lazarus существует как минимум с 2010 года и по-прежнему активна. «Мы надеемся, что это нарушит операции группы, вынудит ее перевооружаться и замедлит прогресс, — заявил эксперт «Лаборатории» Брайан Бартоломью (Brian Bartholomew). — Это, несомненно, окажет воздействие, однако вряд ли заставит ее покинуть арену».

В 2014 году Operation SMN, аналогичная ИБ-инициатива, возглавленная Novetta, опубликовала отчет о расследовании деятельности китайской APT-группы Axiom.

«Как показала новая операция, группировка, с которой мы боролись, вернулась за какие-то месяцы, сменив инструментарий и подготовившись к новым атакам, — комментирует Бартоломью. — Нам удалось притормозить их операции. Однако, что более важно, мы также предали гласности многое из того, о чем все догадывались, но что на тот момент не было официально раскрыто. Это большое достижение».

Lazarus Group — довольно большая хакерская группировка, которую правительство США склонно связывать с Северной Кореей. В середине декабря 2014 года ФБР публично обвинило правительство этой страны в проведении кибератак на Sony. В соответствующем пресс-релизе спецагентства было сказано, что об этом свидетельствуют результаты анализа образцов вредоносного кода и вшитые в него IP-адреса, а также сходство взлома Sony с атаками годовой давности против южнокорейских СМИ и представителей критически важных отраслей.

география атак Lazarus

В январе 2015 года США ввели санкции против оборонных ведомств Северной Кореи, еще двух правительственных структур и десяти граждан. Соответствующий приказ президента был подписан спустя две недели после DDoS-атаки в Северной Корее, обрушившей Интернет на большей части территории этой страны.

В новом отчете «Лаборатории Касперского», посвященном Lazarus, отмечено, что используемое этой группой вредоносное ПО — это в основном кастомные сборки, хотя и не очень замысловатые. Среди них выделяется Destover, применявшийся в атаках на Sony, в киберкампании DarkSeoul и против Aramco в Саудовской Аравии. После похищения данных у Sony взломщики использовали этого зловреда для стирания загрузочной записи на жестких дисках, чем эффективно вывели из строя многие рабочие станции кинокомпании.

«Шпионаж — это в некотором роде джентльменская игра, со своими правилами, которые соблюдают большинство госорганов, — отметил Бартоломью. — Некоторые группировки и страны не склонны следовать этим правилам… У этих парней таких проблем нет. Их вредоносное ПО не отличается особой сложностью, но весьма эффективно. Если оно работает, то работает на совесть. И отдача огромна в сравнении с ресурсами, потраченными на разработку».

В 2014–2015 годах активность Lazarus заметно повысилась, при этом участники операции Blockbuster обнаружили ряд схожих черт у семейств вредоносного ПО, используемого в новых атаках, в том числе у зловредов Wild Positron и Hangman, появившихся в прошлом году. В частности, исследователи отметили сходство сетевой функциональности, к примеру повторное использование пользовательских агентов, коих всего полдюжины;  имя одного из них вшито в код с характерной ошибкой — Mozillar.

Используемые Lazarus зловреды также используют файлы BAT для удаления своих компонентов после заражения. «Эти bat-файлы генерируются на лету и служат для уничтожения следов первичного заражения, — поясняют «лаборанты» в блоге. — Как ни странно, среди них попадаются дубли, что в значительной мере помогает идентифицировать самого зловреда на основе заполнителей в строке пути, используемой для генерации произвольно названного bat-файла в зараженной системе».

Более того, данная APT-группа использует один и тот же пароль для разархивирования zip-файлов с дроппером. Этот вредоносный архив, именуемый MYRES, можно раскрыть, используя прописанный в коде пароль !1234567890 dghtdhtrhgfjnui$%^^&fdr.

В 2015 году в «Лаборатории Касперского» было проанализировано вдвое больше сэмплов, ассоциированных с Lazarus, чем в предыдущем году. Большинство этих зловредов скомпилированы под тайм-зонами GMT+8 и GMT+9, действующими в Северной Корее и многих странах Восточной Азии. Более того, 62% образцов, подвергнутых анализу в Novetta, используют ресурсы, для которых задан корейский язык.

«Они пишут программы самостоятельно, но их opsec [operational security, защита приложения] при этом оставляет желать лучшего, — заключает Бартоломью. — Это и позволило нам установить взаимосвязь. Они из раза в раз используют одни и те же технологии».

Категории: Аналитика, Главное, Кибероборона, Хакеры