Operazione Blockbuster, caccia ai cybercriminali che attaccarono Sony

Naviga SWZ: Home Page » News
News del 05 Marzo 16 Autore: Stefano Fossati
Sembra avvicinarsi all’obiettivo l’operazione Blockbuster, lanciata poco più di un anno fa da Novetta – società specializzata nell’analytics al servizio della sicurezza - per fermare il famigerato gruppo Lazarus, responsabile di devastanti cyberattacchi su scala mondiale, come quello che colpì media e istituzioni finanziarie nel 2013 e quello serrato l’anno successivo ai danni di Sony Pictures Entertainment. Per identificare e mettere fine all’attività del gruppo criminale, Novetta ha dato vita nel dicembre 2014 a un’alleanza di società private specializzate in sicurezza informatica e analisi dati: fra queste Kaspersky Labs, che in una nota ha comunicato i passi avanti fatti in questo anno nell’indagine.

Le ricerche hanno preso il via dall’analisi dei sample del malware Destover, utilizzato nel novembre 2014 nell’attacco a Sony Pictures Entertainment, dai quali gli esperti di diverse società dell’alleanza sono risaliti ad altre campagne di cyberspionaggio e cybersabotaggio che, negli anni precedenti, avevano preso di mira, tra gli altri, istituzioni finanziarie, media e aziende manifatturiere, determinando la responsabilità del gruppo Lazarus in decine di attacchi isolati. Questa attività ha consentito di mettere in relazione i malware usati, oltre che nell’operazione che colpì Sony, anche nella campagna DarkSeoul contro banche con sede nella capitale coreana, così come nell’operazione Troy contro le forze militari della Corea del Sud.

Operazione Blockbuster, caccia ai cybercriminali che attaccarono Sony - immagine 1

Le analisi realizzate congiuntamente da Kaspersky Lab e AlienVault nell’ambito dell’operazione Blockbuster si sono focalizzate fra l’altro sui “payload”, ovvero gli strumenti installati dal malware per produrre i propri effetti dopo avere infettato un computer. E’ emerso così che tutti i “dropper” (file speciali usati per installare diverse varianti di un payload nocivo) conservavano i propri payload in un archivio ZIP protetto da password. E la password degli archivi usati in diversi attacchi era sempre la stessa e a codifica fissa all’interno del dropper. Una prova inequivocabile della paternità comune delle diverse campagne.

Le date di compilazione dei sample dimostrano che i primi potrebbero essere stati compilati già nel 2009, cinque anni prima dell’attacco a Sony, per poi crescere rapidamente dal 2010. Molti dei programmi nocivi usati dal gruppo Lazarus – che appare tuttora operativo - sembrano essere stati compilati durante le ore lavorative dei fusi orati GMT+8 e GMT+9: l’unico Paese accomunato da entrambi è l’Indonesia, mentre il primo comprende fra gli altri la Cina, Singapore e Taiwan, il secondo il Giappone e le due Coree.

“Questo genere di malware – commenta Juan Guerrero, Senior Security Researcher di Kaspersky Lab - si è dimostrato un genere di cyber arma straordinariamente efficace. Il potere di ripulire migliaia di computer premendo un solo bottone costituisce un asset per un gruppo di Computer Network Exploitation che mira alla disinformazione e all’interruzione delle operazioni dell’azienda presa di mira. Il suo valore all’interno delle guerre ibride, in cui gli attacchi wiper operano in congiunzione con gli attacchi cinetici per paralizzare le infrastrutture di un Paese rimane un esperimento mentale interessante spaventosamente più vicino alla realtà di quanto possiamo immaginare”.
“Questo gruppo criminale ha le capacità e la determinazione necessarie per lanciare operazioni di cyber spionaggio allo scopo di rubare dati e causare danni. Combinandole con l’uso di tecniche di disinformazione e raggiro, i criminali sono stati in grado di lanciare con successo numerose operazioni negli ultimi anni”, aggiunge Jaime Blasco, chief scientist di AlienVault.
“Con l’operazione Blockbuster, Novetta, Kaspersky Lab e i nostri partner hanno unito le forze per stabilite una metodologia per interrompere le operazioni di gruppo di attacco di importanza globale e per cercare di mitigare i loro sforzi di infliggere ulteriori danni”, conclude Andre Ludwig, senior technical director di Novetta Threat Research and Interdiction Group.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE