Utrecht, 24 februari 2016 – Samen met Novetta en andere industriepartners maakt
Kaspersky Lab met trots haar bijdrage bekend aan Operation Blockbuster. Doel van deze operatie is het verstoren van de activiteiten van de Lazarus Group. Deze zeer schadelijke entiteit is verantwoordelijk voor gegevensvernietiging en conventionele cyberspionage-operaties tegen meerdere bedrijven over de hele wereld. De aanvallers worden verondersteld achter de aanval te zitten op Sony Pictures Entertainment in 2014, en achter de DarkSeoul-operatie die in 2013 was gericht tegen media en financiële instellingen.
Na een verwoestende aanval op de beroemde filmproductiemaatschappij Sony Pictures Entertainment (SPE) in 2014, begon Kaspersky Labs Global Research & Analysis Team (GReAT) haar onderzoek naar de samples van de Destover-malware waarvan openbaar werd gemaakt dat deze werd gebruikt tijdens de aanval. Dit leidde tot uitgebreider onderzoek naar een cluster van verwante cyberspionage- en cybersabotagecampagnes, gericht tegen onder andere financiële instellingen, media en productiebedrijven.
De Lazarus Group was al enkele jaren vóór het SPE-incident actief en lijkt dat nog altijd te zijn. Kaspersky Lab en ander Operation Blockbuster-onderzoek bevestigt een verbinding tussen de in verschillende campagnes gebruikte malware, zoals
Operation DarkSeoul, tegen in Seoul gevestigde banken en omroepen,
Operation Troy, gericht op militaire troepen in Zuid-Korea, en het Sony Pictures-incident.
Een hooiberg vol naalden
Door meerdere samples van tijdens verschillende cyberbeveiligingsincidenten waargenomen malware te analyseren en speciale detectieregels te creëren, konden Kaspersky Lab, AlienVault en andere Operation Blockbuster-specialisten vaststellen dat een aantal aanvallen het werk bleek van de Lazarus Group.
Het linken van meerdere samples aan één groep werd mogelijk dankzij analyse van de door deze actor gebruikte methoden. Specifiek werd actief hergebruik van code door de aanvallers ontdekt – het lenen van codefragmenten uit het ene kwaadaardige programma om dit te gebruiken in een andere.
Geografie van de operatie
Uit analyses van de compilatiedatums van de samples bleek dat de oudste mogelijk al in 2009 werd gecompileerd, vijf jaar voor de beruchte aanval tegen Sony. Het aantal nieuwe samples is sinds 2010 dynamisch toegenomen. Dit typeert de Lazarus Group als een stabiele, langdurige dreigingsactor. Op basis van uit de onderzochte sample geëxtraheerde metadata lijken de meeste door de Lazarus Group gebruikte kwaadaardige programma's te zijn gecompileerd tijdens werkuren in de tijdzones GMT +8 tot GMT +9.
"Via Operation Blockbuster hebben Novetta, Kaspersky Lab en onze partners voortdurend gewerkt aan een methode om de verrichtingen te verstoren van op mondiaal niveau actieve aanvalsgroepen. Daarbij proberen we hun inspanningen tegen te gaan om nog meer schade aan te brengen", zegt Andre Ludwig, senior technical director bij de Novetta Threat Research and Interdiction Group. "De in Operation Blockbuster uitgevoerde diepgaande technische analyse is van zeldzaam hoog niveau. Het feit dat we onze bevindingen delen met industriepartners, zodat we allemaal kunnen profiteren van de verbeterde kennis, is zelfs nog zeldzamer."
Ga voor meer informatie over Kaspersky Labs bevindingen over de Lazarus Group naar
Securelist.com.
Ga voor meer informatie over Novetta's bevindingen over de Lazarus Group naar:
www.OperationBlockbuster.com