2014年11月24號上午發(fā)生的事情,已經(jīng)被深深烙進(jìn)了索尼影視娛樂公司的員工們的腦海里。在那一天,一起未知的網(wǎng)絡(luò)攻擊襲向了該公司的服務(wù)器,導(dǎo)致了諸多機密數(shù)據(jù)的泄露,也給該公司的聲譽造成了很大的損傷。對于攻擊者的身份,各方一直難以判定,直到卡巴斯基實驗室在今日深扒了一個名叫Lazarus的組織。
與卡巴斯基攜手參與調(diào)查的還有Novetta和AlienVault(被稱為Operation Blockbusters),Lazurus團(tuán)隊被認(rèn)為需要對入侵索尼影業(yè)、以及2013年攻擊韓國銀行等事件負(fù)責(zé)。
卡巴斯基實驗室表示,在臭名昭著的索尼影業(yè)泄密事件之后,其專家分析了參與攻擊的Destover惡意軟件的樣本,研究披露了數(shù)十起利用不同的惡意軟件樣本(但擁有諸多共同特征)進(jìn)行網(wǎng)絡(luò)活動的線索。
在發(fā)現(xiàn)了這一新型惡意軟件之后,卡巴斯基得以打造出了可以預(yù)防同類威脅的解決方案。那么,安全專家們又是如何發(fā)現(xiàn)和認(rèn)定Lazarus團(tuán)伙的呢?
因為這一團(tuán)伙在積極地重復(fù)利用它們的開發(fā)出來的東西,從一款惡意程序中借來了代碼片段并用到另一款上。
其次,用于安裝不同惡意軟件的病毒生成器(droppers),其數(shù)據(jù)也都被保存在了一個受保護(hù)的ZIP壓縮文檔中,該密碼同被用于許多不同的活動中(事實上是被droppers硬編碼的)。
另外,犯罪分子用于在受感染的系統(tǒng)中擦拭自身出現(xiàn)痕跡的手段,也都出現(xiàn)了高度的一致性,從而讓研究人員們一眼就揪出了他們。
本次調(diào)查披露了Lazarus團(tuán)伙還涉及軍事間諜活動,以及發(fā)起了針對金融機構(gòu)、媒體電臺和制造型企業(yè)的攻擊,且多數(shù)受害者位于韓國、印度、中國、巴西、俄羅斯、以及土耳其。
這些犯罪活動打造出了Hangman(2014-2015)和Wild Positron(亦稱Duuzer,2015)之類的惡意軟件,后者也是“安全分析峰會”(Security Analyst Summit 2016)上討論的一個重點話題。
卡巴斯基與AlienVault Labs分享了這一調(diào)查結(jié)果,最終來自兩家公司的研究人員們決定攜手努力。當(dāng)然,Lazarus Group的活動也被許多其它安全專家和企業(yè)所研究著。
比如作為“Operation Blockbuster”的一部分,Novetta就建立了一個用來發(fā)布調(diào)查結(jié)果的項目。
大家又是如何得知有關(guān)這些不法之徒的信息的呢?實際上,Lazarus Group打造的首款惡意軟件樣本,可以追溯到2009年。2010年的時候,新樣本的數(shù)量出現(xiàn)了大幅增長。
這一特征表明Lazarus Group是一個長期穩(wěn)定的威脅,在2014-2015年間,該組織的‘生產(chǎn)力’達(dá)到了頂峰,并且在2016年依然活躍。
針對其活動時間的調(diào)查結(jié)果表明,該團(tuán)伙的多數(shù)人應(yīng)生活在東八區(qū)(GMT+8)或東九區(qū)(GMT+9),他們大約從午夜(00hrs GMT)開始工作,然后在凌晨3點(GMT)休息吃午飯。
此外可以清楚地知道,團(tuán)伙成員屬于極端型的工作狂,每日工作時間長達(dá)15-16個小時。Lazarus儼然是業(yè)內(nèi)多年來所知的“最勤勞”的團(tuán)伙了。
另外一個有趣的觀察是,從Lazarus的樣本集來看,幾乎有2/3的網(wǎng)絡(luò)犯罪可執(zhí)行文件都包含了典型韓語用戶的元素。目前這一調(diào)查仍在繼續(xù),感興趣的網(wǎng)友可以前往Secutrlist深入了解一下。