Operazione Blockbuster: caccia ai cyber criminali di Lazarus Group che attaccarono la Sony

31L’operazione Blockbuster, un’indagine approfondita condotta in maniera congiunta da parte di una serie di importanti società attive nel settore della sicurezza, connette diversi cyber attacchi che fecero tremare grandi industrie di varie nazioni.

Come molti ricorderanno, il novembre del 2014 vide tra i più eclatanti attacchi informatici quello lanciato alla Sony Pictures Entertainment, la casa cinematografica statunitense parte del colosso giapponese Sony.

Le protezioni informatiche della Sony Pictures vennero forzate da un gruppo di hacker che riuscì ad installare nei computer delle vittime un software che, dopo aver copiato e inviato i dati ad un server remoto, successivamente li eliminò dall’hard disk.

I danni furono enormi: vennero trafugati circa 2 Terabyte di dati contenenti anni di mail dei dirigenti, contratti, stipendi, numeri e password di carte di credito e anche qualche film intero che iniziò a circolare in rete.

I diversi riferimenti al film The Interview, in cui si racconta in modo grottesco la vita di Kim Jong-un e il ritrovamento all’interno del codice del malware di alcune parole in coreano hanno permesso fin da subito all’FBI di sospettare che l’attacco provenisse dalla Corea del Nord.

Analizzando il malware il sospettato principale risultò essere il famoso gruppo Lazarus, già accusato di altri pesanti attacchi avvenuti nel 2013 ai danni di banche ed emittenti di Seoul.

Al fine bloccare la famigerata banda di cyber criminali venne avviata un’indagine approfondita condotta in maniera congiunta da parte di una serie di importanti società attive nel settore della sicurezza e denominata “Operazione Blockbuster”.

In relazione al sovracitato attacco alla Sony Pictures fu l’analisi dei sample del malware “Destover” a tradire il Lazarus Group; questa attività permise agli esperti delle diverse società impegnate nell’operazione Blockbuster di mettere in relazione l’attacco alla Sony con quelli del 2013 a Seoul, denominati DarkSeoul.

Fin qui è solo la punta dell’iceberg, le indagini si sono protratte sino all’anno corrente rivelando una realtà enorme ed inquietante: decine di campagne informatiche utilizzavano diversi campioni di malware con molte caratteristiche in comune.

Il Kaspersky Lab, una delle aziende partecipanti all’operazione, è stato in grado di scoprire in maniera proattiva il nuovo malware prodotto dal Lazarus Group. Gli hacker trasferivano frammenti di codice da un programma indesiderato e lo inserivano in un altro, riutilizzando attivamente le loro elaborazioni. Inoltre i dropper – ovvero programmi creati per installare un malware che possono contenere o scaricare il codice – erano tutti conservati all’interno di un archivio ZIP protetto, la password era unica e uguale in molte campagne differenti. Inoltre i metodi utilizzati per cancellare le tracce degli attacchi da un sistema infetto erano simili; tutto questo ha aiutato ad identificare il gruppo.

Sono così emerse decine di altre campagne di cyberspionaggio e cybersabotaggio che, negli anni precedenti, non avevano risparmiato istituzioni finanziarie, media e aziende manifatturiere, determinando la responsabilià del gruppo Lazarus in molteplici attacchi isolati.

La temibile banda è attiva almeno dal 2009 ed è ritenuta responsabile di attacchi in ben 14 nazioni – Messico, Stati Uniti, Turchia, Arabia Saudita, Iran, India, Bangladesh, Russia, Cina, Taiwan, Corea del Sud, Malesia, Indonesia e Vietnam.

Nel corso dell’indagine condotta, per tutta la durata degli anni in cui sono stati eseguiti gli attacchi, sono stati individuati più di 40 tipi diversi di programmi malware creati dal Lazarus Group. Le strutture colpite sono state in particolar modo organizzazioni finanziarie, emittenti radio e stazioni televisive.

La speranza di Blockbuster è che la condivisione delle informazioni aiuti ad assestare un notevole colpo al Lazarus Group e stabilire un metodo per interrompere le operazioni di hackeraggio di gruppo di importanza globale e cercare così di mitigare i loro sforzi nell’infliggere ulteriori danni.