up_icon
Internet Misc

Επιχείρηση Blockbuster: Κατάφεραν να σταματήσουν τους υπαίτιους για την επίθεση στη Sony Pictures

01 Μαρτίου 2016 Yannis Elpidis

Επιχείρηση Blockbuster: Κατάφεραν να σταματήσουν τους υπαίτιους για την επίθεση στη Sony Pictures

hackers

Η Kaspersky Lab είναι στην ευχάριστη θέση να ανακοινώσει τη συμβολή της, μαζί με τη Novetta και άλλους συνεργάτες από τον ευρύτερο κλάδο της ασφάλειας, στην «Επιχείρηση Blockbuster». Στόχος της επιχείρησης είναι να σταματήσει τη δραστηριότητα της ομάδας Lazarus Group, ενός εξαιρετικά επικίνδυνου κακόβουλου φορέα, που είναι υπεύθυνος για την καταστροφή δεδομένων, καθώς και για παραδοσιακές επιχειρήσεις ψηφιακής κατασκοπείας εναντίον πολλών εταιρειών ανά τον κόσμο. Οι εν λόγω επιτιθέμενοι θεωρείται ότι βρίσκονται πίσω από την επίθεση στη Sony Pictures Entertainment το 2014, αλλά και την εκστρατεία DarkSeoul, η οποία έβαλε στο στόχαστρο Μέσα Μαζικής Ενημέρωσης και χρηματοπιστωτικά ιδρύματα το 2013.

Μετά από τη γνωστή καταστροφική επίθεση εναντίον της Sony Pictures Entertainment (SPE), μιας από τις πιο διάσημες εταιρείες παραγωγής ταινιών, το 2014, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab (GReAT) ξεκίνησε να ερευνά δείγματα του κακόβουλου λογισμικού Destover, το οποίο είχε χρησιμοποιηθεί στην επίθεση, όπως έγινε δημοσίως γνωστό. Αυτό οδήγησε σε περεταίρω έρευνα μιας σειράς συναφών εκστρατειών ψηφιακής κατασκοπείας και δολιοφθοράς, οι οποίες στράφηκαν εναντίον χρηματοπιστωτικών ιδρυμάτων, Μέσων Μαζικής Ενημέρωσης και κατασκευαστικών εταιρειών, μεταξύ των άλλων.

Με βάση τα κοινά χαρακτηριστικά που παρατηρήθηκαν σε διαφορετικές οικογένειες κακόβουλων προγραμμάτων, οι ειδικοί της εταιρείας κατάφεραν να ομαδοποιήσουν δεκάδες μεμονωμένες επιθέσεις και να φτάσουν στο συμπέρασμα ότι όλες ανήκουν σε έναν απειλητικό παράγοντα. Αυτό επιβεβαιώθηκε και από την ανάλυση που διεξήγαν και οι άλλοι συμμετέχοντες στην «Επιχείρηση Blockbuster».

Ο απειλητικός φορέας Lazarus Group ήταν ενεργός αρκετά χρόνια πριν από το περιστατικό της Sony Pictures Entertainment, ενώ φαίνεται ότι εξακολουθεί να είναι ενεργός. Η Kaspersky Lab και άλλοι συμμετέχοντες στην«Επιχείρηση Blockbuster» επιβεβαιώνουν μια σύνδεση μεταξύ κακόβουλων προγραμμάτων που χρησιμοποιήθηκαν σε διάφορες εκστρατείες, όπως η επιχείρηση DarkSeoul κατά τραπεζών και ραδιοτηλεοπτικών φορέων με έδρα τη Σεούλ, η επιχείρηση Troy που στόχευε στρατιωτικές δυνάμεις στη Νότια Κορέα και το περιστατικό της Sony Pictures Entertainment.

Kaspersky-Lab_Lazarus-Group-Map

Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Lab αντάλλαξαν προκαταρκτικά ευρήματα με την AlienVault Labs. Σταδιακά, οι ερευνητές και από τις δύο εταιρείες αποφάσισαν να ενώσουν τις δυνάμεις τους και να διεξάγουν την έρευνα από κοινού. Ταυτόχρονα, η δραστηριότητα της ομάδας Lazarus Group έγινε αντικείμενο έρευνας από πολλές άλλες εταιρείες και ειδικούς ασφάλειας. Μία από αυτές τις εταιρείες, η Novetta, ξεκίνησε μια πρωτοβουλία με στόχο την δημοσίευση της πιο εκτενούς και αξιοποιήσιμης πληροφόρησης σχετικά με τη δραστηριότητα του Lazarus Group. Ως μέρος της «Επιχείρησης Blockbuster», μαζί με τη Novetta, την AlienVault Labs και άλλους συνεργάτες από τον κλάδο, η Kaspersky Lab δημοσιεύει τα ευρήματά της προς όφελος του ευρύτερου κοινού.

Ψάχνοντας ψύλλο στ’ άχυρα…

Αναλύοντας πολλαπλά δείγματα κακόβουλου λογισμικού που εντοπίστηκαν σε διαφορετικά περιστατικά ψηφιακής ασφάλειας και δημιουργώντας ειδικούς κανόνες εντοπισμού, η Kaspersky Lab, η AlienVault και άλλοι ειδικοί της Επιχείρησης «Blockbuster» κατάφεραν να εντοπίσουν μια σειρά επιθέσεων από την ομάδα Lazarus Group.

Η σύνδεση και η ομαδοποίηση πολλαπλών δειγμάτων σε μία μόνο ομάδα προέκυψε κατά την ανάλυση των μεθόδων που χρησιμοποιούνται από αυτόν τον φορέα. Ειδικότερα, ανακαλύφτηκε ότι οι επιτιθέμενοι επαναχρησιμοποιούσαν ενεργά κώδικα. Συγκεκριμένα, «δανείζονταν» κομμάτια κώδικα από ένα κακόβουλο πρόγραμμα, για να τον χρησιμοποιήσουν σε ένα άλλο.

Πέρα από αυτό, οι ερευνητές μπόρεσαν να εντοπίσουν ομοιότητες στον τρόπο λειτουργίας των επιτιθεμένων. Κατά την ανάλυση αντικείμενων από διάφορες επιθέσεις, ανακάλυψαν ότι όλα τα droppers (ειδικά αρχεία που χρησιμοποιούνται για την εγκατάσταση διαφορετικών παραλλαγών ενός κακόβουλου φορτίου) διατηρούσαν τα ωφέλιμα φορτία τους μέσα σε ένα αρχείο ZIP προστατευμένο με κωδικό. Ο κωδικός πρόσβασης για τα αρχεία που χρησιμοποιούνταν σε διάφορες εκστρατείες ήταν ο ίδιος και ήταν ενσωματωμένος μέσα στο dropper. Η προστασία με κωδικό πρόσβασης τέθηκε σε εφαρμογή, προκειμένου να αποφευχθεί η εξαγωγή και η ανάλυση του ωφέλιμου φορτίου από τα αυτοματοποιημένα συστήματα, αλλά στην πραγματικότητα απλά βοήθησε τους ερευνητές να αναγνωρίσουν την ομάδα.

Μια ειδική μέθοδος που χρησιμοποίησαν οι εγκληματίες για να σβήνουν τα ίχνη της παρουσίας τους από ένα «μολυσμένο» σύστημα, καθώς και κάποιες τεχνικές που χρησιμοποιούνταν για να αποφύγουν τον εντοπισμό τους από τα προϊόντα antivirus, έδωσαν στους ερευνητές πρόσθετα μέσα για την ομαδοποίηση των σχετικών επιθέσεων. Τελικά, δεκάδες διαφορετικές στοχευμένες επιθέσεις, των οποίων οι διαχειριστές είχαν θεωρηθεί άγνωστοι, συνδέθηκαν με έναν ενιαίο απειλητικό φορέα.

Η «γεωγραφία» της Επιχείρησης

Η ανάλυση των ημερομηνιών συλλογής των δειγμάτων έδειξε ότι τα πρώτα θα μπορούσαν να έχουν συνταχθεί ήδη από το 2009, αρκετά χρόνια πριν από την διαβόητη επίθεση εναντίον της Sony Pictures Entertainment. Ο αριθμός των νέων δειγμάτων έχει αυξηθεί δυναμικά από το 2010. Αυτό χαρακτηρίζει την ομάδα Lazarus Group ως έναν σταθερό απειλητικό φορέα με μακρόχρονη δράση. Με βάση τα metadata που προέκυψαν από τα δείγματα που ερευνήθηκαν, τα περισσότερα από τα κακόβουλα προγράμματα που χρησιμοποιούνται από την ομάδα Lazarus Group φαίνεται να έχουν συνταχθεί κατά τη διάρκεια των εργάσιμων ωρών, στις ζώνες ώρας GMT + 8 και GMT+9.

Όπως δήλωσε ο Juan Guerrero, Senior Security Researcherτης Kaspersky Lab.

"Όπως είχαμε προβλέψει, ο αριθμός των επιθέσεων που καταστρέφουν δεδομένα μεγαλώνει σταθερά. Αυτό το είδος κακόβουλου λογισμικού αποδεικνύεται ότι είναι ένα εξαιρετικά αποτελεσματικό είδος κυβερνο-όπλου. Η δύναμη να «καθαρίσει» χιλιάδες υπολογιστές με το πάτημα ενός κουμπιού αποτελεί σημαντική ανταμοιβή για μια ομάδα Εκμετάλλευσης Δικτύου Υπολογιστών ,η οποία είναι επιφορτισμένη με δράσεις παραπληροφόρησης και διακοπής της λειτουργίας μιας επιχείρησης-στόχου. Η αξία της ως μέρος ενός «υβριδικού πολέμου», όπου οι επιθέσεις αυτές συνδυάζονται με φυσικές επιθέσεις για την παράλυση των υποδομών μιας χώρας, παραμένει ένα ενδιαφέρον «νοητικό πείραμα», το όποιο όμως βρίσκεται πιο κοντά στην πραγματικότητα από ό,τι φανταζόμαστε – και δεν μπορούμε να αισθανόμαστε άνετα μ’ ένα τέτοιο γεγονός. Μαζί με τους συνεργάτες από τον κλάδο της ασφάλειας, είμαστε περήφανοι που έχουμε καταφέρει ένα ισχυρό πλήγμα στις επιχειρήσεις ενός αδίστακτου φορέα, πρόθυμου να αξιοποιήσει αυτές τις καταστροφικές τεχνικές"

Ο Jaime Blasco, Chief Scientist της AlienVault, συμπλήρωσε,

"Αυτός ο φορέας έχει τις απαραίτητες ικανότητες και την αποφασιστικότητα να εκτελέσει επιχειρήσεις ψηφιακής κατασκοπίας, με σκοπό την κλοπή δεδομένων ή την πρόκληση ζημιάς. Συνδυάζοντας τα παραπάνω με τη χρήση τεχνικών παραπληροφόρησης και εξαπάτησης, οι επιτιθέμενοι μπορούσαν να υλοποιούν επιτυχώς διάφορες επιχειρήσεις τα τελευταία χρόνια. Η«Επιχείρηση Blockbuster»είναι ένα παράδειγμα του πώς ο τομέας μας, με την ανταλλαγή πληροφοριών και τη συνεργασία, μπορεί να θέσει τον πήχη ψηλότερα και να εμποδίζει τέτοιου είδους φορείς από τις συνεχιζόμενες δραστηριότητές τους"

Όπως σχολίασε ο Andre Ludwig, Senior Technical Director της Novetta Threat Research and Interdiction Group

"Μέσω της «Επιχείρησης Blockbuster», η Novetta,η Kaspersky Lab και οι συνεργάτες μας, συνεχίζουμε τις προσπάθειες για την καθιέρωση μιας μεθοδολογίας για την παύση των δραστηριοτήτων φορέων επιθέσεων με παγκόσμια εμβέλεια, αλλά και για τον περιορισμό των προσπαθειών τους να προκαλέσουν περαιτέρω ζημιά. Το επίπεδο της εις βάθος τεχνικής ανάλυσης που πραγματοποιήθηκε για την «Επιχείρηση Blockbuster»είναι σπάνιο και το γεγονός ότι μοιραστήκαμε τα ευρήματά μας με άλλους συνεργάτες από τον κλάδο, ώστε να επωφεληθούμε όλοι, είναι ακόμα πιο σπάνιο"

Περισσότερες λεπτομέρειες σχετικά με τα ευρήματα της Kaspersky Lab για τη δράση της ομάδας Lazarus Group είναι διαθέσιμες στον ιστότοποSecurelist.com.

Περισσότερες λεπτομέρειες σχετικά με τα ευρήματα της Novetta για τη δράση της ομάδας Lazarus Groupείναι διαθέσιμες στον ιστότοπο www.OperationBlockbuster.com.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Απάτες στο Champions League

26 Μαΐου 2022 Techgear Team

Ο τελικός του UEFA Champions League μεταξύ της Λίβερπουλ και της Ρεάλ Μαδρίτης θα πραγματοποιηθεί στις 28 Μαΐου. Πρόκειται για μια τεράστια εκδήλωση που συγκεντρώνει πλήθος φιλάθλων. Σύμφωνα με τα στατιστικά ...

Street View: Μπορείς πλέον να ταξιδεύεις πίσω στο χρόνο

24 Μαΐου 2022 Techgear Team

Πριν 15 χρόνια, το Street View ξεκίνησε ως μια τολμηρή ιδέα από τον συν-ιδρυτή της Google, Larry Page, για την κατασκευή ενός πλήρους χάρτη, 360 μοιρών, ολόκληρου του κόσμου. Σήμερα, πάνω από 220 δισεκατομμύρια...

15 χρόνια Google Street View! Οι δημοφιλέστερες τοποθεσίες στην Ελλάδα

24 Μαΐου 2022 Techgear Team

Το 2007 δημοσιεύσαμε τις πρώτες εικόνες του Street View από το Σαν Φρανσίσκο, τη Νέα Υόρκη, το Λας Βέγκας, το Μαϊάμι και το Ντένβερ. Από τότε, αυτοκίνητα του Street View, εξοπλισμένα με φωτογραφικές μηχανές, ...

Δέκα λόγοι που πέφτουμε θύματα απάτης

24 Μαΐου 2022 Techgear Team

Μερικά πράγματα είναι αυτονόητα: το διαδίκτυο έχει φέρει επανάσταση στη ζωή μας, αλλάζοντας τον τρόπο με τον οποίο εργαζόμαστε, μαθαίνουμε, διασκεδάζουμε και αλληλοεπιδρούμε. Τα οφέλη του δικτυωμένου κόσμου μας...

Προσοχή στα συνημμένα HTML αρχεία των emails

20 Μαΐου 2022 Techgear Team

Οι ειδικοί της Kaspersky προειδοποιούν τους χρήστες για τις αυξημένες επιθέσεις μέσω phishing emails που περιέχουν αρχεία HTML. Από τον Ιανουάριο έως τον Απρίλιο του 2022, οι ερευνητές της Kaspersky απέκλεισαν ...

Οι πιο συνηθισμένες απάτες στο LinkedIn και τι να προσέξεις

19 Μαΐου 2022 Techgear Team

Το κυνήγι για μια θέση εργασίας είναι σκληρή δουλειά, ένα είδος πλήρους απασχόλησης από μόνο του. Χρειάζεται συγκέντρωση και υπομονή για να ψάχνετε τη μία αγγελία μετά την άλλη και να συμπληρώνετε ατελείωτες ...

YouTube: Η νέα λειτουργία Most Replayed για να μην χάνεις χρόνο

19 Μαΐου 2022 Christos Elpidis

Η ομάδα ανάπτυξης του YouTube φέρνει μια νέα λειτουργία στον video player της υπηρεσίας που θα δείχνει στον θεατή ποιο μέρος του έχει συγκεντρώσει τα περισσότερα views. Ουσιαστικά, πρόκειται για ένα νέο γράφημα...

Από το iPod στο streaming: Συμβουλές για ασφαλή χρήση στη νέα εποχή

17 Μαΐου 2022 Techgear Team

Πρόσφατα η Apple ανακοίνωσε ότι σταμάτησε την κατασκευή του iPod. Η εταιρεία θα πουλήσει τα αποθέματα του iPod Touch, σηματοδοτώντας το τέλος εποχής για το iPod και την «προσωπική μουσική». Τα τελευταία χρόνια ...

Google: Απαγορεύει τα downloads και τις αναβαθμίσεις των επί πληρωμή εφαρμογών στη Ρωσία

10 Μαΐου 2022 Christos Elpidis

Δυσκολεύει ακόμη περισσότερο η «ψηφιακή» καθημερινότητα για εκατομμύρια χρήστες που ζουν στη Ρωσία, καθώς η Google ανακοίνωσε νέα μέτρα σχετικά με τη διανομή των εφαρμογών και των αναβαθμίσεων τους μέσα από το ...

Twitter Article: Δοκιμές για δημοσίευση long-form κειμένων στο Twitter

09 Μαΐου 2022 Christos Elpidis

Εν μέσω των υποσχέσεων που ξεκίνησε να μοιράζει ο Elon Musk στους υπόλοιπους μετόχους της Twitter (σ.σ. κάνει λόγο για τετραπλασιασμό του αριθμού των χρηστών μέσα στα επόμενα χρόνια), η γνωστή ερευνήτρια Jane ...

Loader
techgear_icon