«Лаборатория Касперского» против Lazarus

«Лаборатория Касперского» помогает пресечь деятельность кибергруппировки Lazarus, на которой, предположительно, лежит ответственность за атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Борьба ведется в рамках операции Blockbuster. Ее участниками являются многие организации и эксперты по информационной безопасности, в том числе компании AlienVault Labs и Novetta. Для атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. «Лаборатория Касперского» проанализировала образцы зловреда и обнаружила его сходство с другими семействами вредоносного ПО, которое использовалось в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Таким образом, анализ позволил установить, что группировка Lazarus начала свою деятельность задолго до нападения на Sony Pictures Entertainment. Самый ранний из образцов вредоносного ПО, вероятно, был создан в 2009 году: за пять лет до атаки на кинокомпанию.

Расследование позволило обнаружить целый ряд атак, за организацией которых стояла группировка Lazarus. Вредоносное ПО, сходное с тем, которое использовалось в атаке на Sony Pictures Entertainment, применялось также в кампании DarkSeoul, направленной на сеульские банки, радио и телевидение, и в операции Operation Troy, нацеленной на вооруженные силы Южной Кореи. Найти связь между разными образцами зловредов и вычислить использующую их кибергруппировку удалось благодаря анализу методов, применяемых атакующими. В итоге десятки различных целевых атак, организаторы которых были неизвестны, свелись к одному источнику – Lazarus. Группировка до сих пор активна и, как выяснили эксперты, проанализировав время создания большинства зловредов, работает в часовых поясах GMT+8 и GMT+9.

«Атаки, выводящие из строя целые IT-инфраструктуры организаций, происходят все чаще и становятся крайне эффективным кибероружием. Возможность прекратить работу одновременно тысяч компьютеров путем нажатия одной кнопки дает большие преимущества организаторам кибератак, чьей целью является нанесение физического вреда конкретному предприятию. А использование подобных атак в совокупности с физическим оружием и вовсе способно парализовать инфраструктуру целой страны – и подобный сценарий гораздо реалистичнее, чем нам может казаться. Именно поэтому вместе с другими представителями индустрии мы наносим удар по этой угрозе и стоящей за ней группировке, использующей столь разрушительные методы», – поясняет Хуан Герреро, антивирусный эксперт «Лаборатории Касперского».