2014年11月24号上午发生的事情,已经被深深烙进了索尼影视娱乐公司的员工们的脑海里。在那一天,一起未知的网络攻击袭向了该公司的服务器,导致了诸多机密数据的泄露,也给该公司的声誉造成了很大的损伤。对于攻击者的身份,各方一直难以判定,直到卡巴斯基实验室在今日深扒了一个名叫Lazarus的组织。
与卡巴斯基携手参与调查的还有Novetta和AlienVault(被称为Operation Blockbusters),Lazurus团队被认为需要对入侵索尼影业、以及2013年攻击韩国银行等事件负责。
卡巴斯基实验室表示,在臭名昭著的索尼影业泄密事件之后,其专家分析了参与攻击的Destover恶意软件的样本,研究披露了数十起利用不同的恶意软件样本(但拥有诸多共同特征)进行网络活动的线索。
在发现了这一新型恶意软件之后,卡巴斯基得以打造出了可以预防同类威胁的解决方案。那么,安全专家们又是如何发现和认定Lazarus团伙的呢?
因为这一团伙在积极地重复利用它们的开发出来的东西,从一款恶意程序中借来了代码片段并用到另一款上。
其次,用于安装不同恶意软件的病毒生成器(droppers),其数据也都被保存在了一个受保护的ZIP压缩文档中,该密码同被用于许多不同的活动中(事实上是被droppers硬编码的)。
另外,犯罪分子用于在受感染的系统中擦拭自身出现痕迹的手段,也都出现了高度的一致性,从而让研究人员们一眼就揪出了他们。
本次调查披露了Lazarus团伙还涉及军事间谍活动,以及发起了针对金融机构、媒体电台和制造型企业的攻击,且多数受害者位于韩国、印度、中国、巴西、俄罗斯、以及土耳其。
这些犯罪活动打造出了Hangman(2014-2015)和Wild Positron(亦称Duuzer,2015)之类的恶意软件,后者也是“安全分析峰会”(Security Analyst Summit 2016)上讨论的一个重点话题。
卡巴斯基与AlienVault Labs分享了这一调查结果,最终来自两家公司的研究人员们决定携手努力。当然,Lazarus Group的活动也被许多其它安全专家和企业所研究着。
比如作为“Operation Blockbuster”的一部分,Novetta就建立了一个用来发布调查结果的项目。
大家又是如何得知有关这些不法之徒的信息的呢?实际上,Lazarus Group打造的首款恶意软件样本,可以追溯到2009年。2010年的时候,新样本的数量出现了大幅增长。
这一特征表明Lazarus Group是一个长期稳定的威胁,在2014-2015年间,该组织的‘生产力’达到了顶峰,并且在2016年依然活跃。
针对其活动时间的调查结果表明,该团伙的多数人应生活在东八区(GMT+8)或东九区(GMT+9),他们大约从午夜(00hrs GMT)开始工作,然后在凌晨3点(GMT)休息吃午饭。
此外可以清楚地知道,团伙成员属于极端型的工作狂,每日工作时间长达15-16个小时。Lazarus俨然是业内多年来所知的“最勤劳”的团伙了。
另外一个有趣的观察是,从Lazarus的样本集来看,几乎有2/3的网络犯罪可执行文件都包含了典型韩语用户的元素。目前这一调查仍在继续,感兴趣的网友可以前往Secutrlist深入了解一下。
[编译自:Kaspersky]
未经允许不得转载:陈丹的博客 » 卡巴斯基深扒Lazarus组织: 曾染指索尼/韩国银行/军事间谍活动