La mañana del 24 de noviembre de 2014 está grabada a fuego en la memoria colectiva de los empleados de Sony Pictures Entertainment. Aquel día, una banda de cibercriminales hackeó el servidor de la compañía y filtró una gran cantidad de información confidencial, provocando daños de reputación enormes a la empresa. El FBI sospechaba de unos hackers de Corea del Norte. Desde entonces, no se ha sabido mucho más sobre estos criminales. Hasta ahora.
Kaspersky Lab llevó a cabo una investigación conjunta junto a Novetta y AlienVault (la llamada Operación Blockbuster) sobre la actividad del grupo Lazarus, en beneficio de todos. Se cree que esta banda es la responsable del hackeo de Sony Pictures junto a otros ataques contra bancos y operadores con base en Seúl que tuvieron lugar en 2013.
Tras la sonada brecha de Sony Pictures, nuestros especialistas analizaron las muestras del malware Destover que, al parecer, estaba involucrado en el ataque. Los estudios revelaron el rastro de decenas de campañas cibernéticas que utilizaban diferentes muestras de malware con una serie de características comunes.
New Version of #Destover #Malware Signed by Stolen @Sony Certificate – http://t.co/mDq0ZRgUgp
— Threatpost (@threatpost) December 9, 2014
Gracias a esta investigación, Kaspersky Lab pudo detectar de forma proactiva el nuevo malware producido por la misma amenaza.
¿Qué más acciones llevó a cabo el grupo Lazarus y cómo los identificamos?
Los atacantes fueron reutilizando sus propios avances: utilizaron algunos fragmentos del código de un programa malicioso y los implementaron en otro. Además, los droppers, archivos especiales que se utilizan para instalar diferentes variaciones de una carga maliciosa, almacenan los datos en un archivo ZIP protegido. La contraseña era la misma en las diferentes campañas. De hecho, estaba cifrada en el dropper.
Incluso los métodos que utilizaron los criminales para borrar sus huellas de los sistemas infectados eran similares, característica que ayudó a identificar al grupo.
Evidence suggests @Sony hackers are alive & well and still #hacking https://t.co/uEgsLcrOUP #infosec #TheSAS2016 pic.twitter.com/fzcpD7aUOL
— Kaspersky (@kaspersky) February 12, 2016
La investigación reveló que el grupo Lazarus estaba involucrado en campañas de espionaje militar, y saboteó las operaciones de instituciones financieras, medios de comunicación y empresas fabricantes. Por lo que sabemos, la mayoría de las víctimas residen en Corea del Sur, India, China, Brasil, Rusia y Turquía. Estos criminales crean programas maliciosos, como Hangman (2014-2015) y Wild Positron (también conocido como Duuzer, 2015). Wild Positron fue uno de los temas que se discutieron en el Congreso de Analistas de Seguridad 2016 (SAS 2016).
Kaspersky Lab compartió los resultados de la investigación con AlienVault Labs. Finalmente, los investigadores de ambas empresas decidieron unir sus esfuerzos y llevar a cabo una investigación conjunta. La actividad del grupo Lazarus también estaba siendo investigada por muchas otras empresas y especialistas en seguridad. Una de estas empresas, Novetta, tomó la iniciativa de publicar los resultados de nuestra investigación como parte de la “Operación Blockbuster“, y nosotros les apoyamos.
Is North Korea Really Behind the Sony Breach?: https://t.co/nb46bzxZXk pic.twitter.com/6nZ4m8Yg0z
— Kaspersky (@kaspersky) December 20, 2014
¿Qué sabemos sobre estos criminales?
Las primeras muestras de malware creadas por el grupo Lazarus se remontan a 2009. Desde 2010, la cifra de nuevas muestras ha crecido progresivamente. Esto caracteriza al grupo Lazarus como una amenaza estable y duradera. En 2014-2015 la productividad del grupo alcanzó su punto álgido y estos criminales siguen activos aún en 2016.
A juzgar por las horas de actividad de los miembros de la banda, viven en una zona horaria de GMT+8 o GMT+9. Empiezan a trabajar alrededor de media noche (00:00 GMT) y paran para comer sobre las 3:00 GMT. Además, sabemos que los miembros de la banda son adictos al trabajo: su jornada de trabajo dura unas 15-16 horas. El grupo Lazarus es, probablemente, el grupo APT más trabajador que conocemos (y hemos estudiado un gran número de ellos a lo largo de los años).
Hay otra interesante observación. A juzgar por el conjunto de muestras del grupo Lazarus, compilado por Novetta, casi dos terceras partes de los archivos ejecutables de los cibercriminales incluyen elementos típicos para los usuarios de habla coreano.
La investigación sigue en progreso. Para saber más sobre el grupo Lazarus y nuestros descubrimientos, visita Securelist.
La Operación Blockbuster ayudó a todas las partes implicadas a averiguar mucho sobre esta peligrosa banda cibernética. No habríamos logrado los mismos resultados sin esta colaboración por varias razones, entre las que se incluye la distribución geográfica de las soluciones de seguridad, desarrolladas por diferentes empresas. Nuestra colaboración es un buen ejemplo de cómo el intercambio de información ayuda a identificar a los verdaderos criminales y hacer de Internet un lugar más seguro.