Angreifer ist für zahlreiche verheerende Cyberspionage und -Sabotage-Operationen verantwortlich
Im Rahmen der Operation Blockbuster hat Kaspersky Lab mit Novetta und anderen Branchenpartnern zusammengearbeitet. Das gemeinsame Ziel war, die Aktivitäten der Lazarus-Gruppe[1]zu beenden. Dieser Aggressor ist für Datensabotage und weltweite Cyberspionageaktivitäten gegen zahlreiche Unternehmen verantwortlich. Es handelt sich vermutlich um jene Cyberkriminellen, die bereits für die Angriffe auf die Filmproduktion Sony Pictures Entertainment (SPE) im Jahr 2014 und die Operation DarkSeoul[2]gegen Medien und Finanzinstitute im Jahr 2013 verantwortlich waren.
Nach den verheerenden Angriffen auf Sony Pictures Entertainment begannen die Experten von Kaspersky Lab im Jahr 2014 mit einer Inspektion der Samples der damals unter dem Namen Destover bekannten Malware. Daran schloss sich eine breitere Untersuchung einer Reihe ähnlicher Kampagnen im Bereich Cyberspionage und -sabotage an, die sich unter anderem gegen Finanzinstitute, Medien und Hersteller richteten.
Durch dabei festgestellte Parallelen konnten die Sicherheitsexperten Dutzende von bislang als eigenständig geltenden Attacken ein und demselben Angreifer zuordnen. Dies bestätigen auch die Analysen der anderen Beteiligten an der Operation Blockbuster.
Die Lazarus-Gruppe war demnach bereits Jahre vor dem Angriff auf Sony Pictures Entertainment aktiv und blieb es wohl auch bis zum heutigen Tag. Kaspersky Lab und weitere Mitglieder der Operation Blockbuster sehen neben der Verbindung zu SPE Zusammenhänge zu Malware aus Kampagnen wie der Operation DarkSeoul, gegen in Seoul ansässige Banken und Medien, sowie der Operation Troy [3] gegen die Streitkräfte Südkoreas.
Zunächst tauschten die Experten von Kaspersky Lab nur einzelne Ergebnisse mit AlienVault Labs aus, dann entschlossen sich beide Unternehmen zu einem gemeinsamen Vorgehen. Gleichzeitig wurden die Aktivitäten der Lazarus-Gruppe von anderen Sicherheitsspezialisten unter die Lupe genommen. Die Novetta Group gab schließlich den Anstoß für eine möglichst breite und valide Aufklärung der Aktivitäten des Aggressors. Jetzt veröffentlicht Kaspersky Lab als Teil der Operation Blockbuster zusammen mit Novetta, AlienVault Labs und anderen Partnern die Ergebnisse der Zusammenarbeit.
Ein Heuhaufen voller Nadeln
So konnten die in der Operation Blockbuster zusammengeschlossenen Partner durch die Analyse diverser Samples aus verschiedenen Cybersicherheitsvorfällen mit Hilfe spezieller Mechanismen eine ganze Reihe von Angriffen der Lazarus-Gruppe zuordnen.
Ein wichtiges, bei der Analyse gefundenes Bindeglied war die Wiederverwendung von Code-Fragmenten in verschiedenen Schadprogrammen. Darüber hinaus gab es Ähnlichkeiten bei der Vorgehensweise. Dropper, also Dateien zur Installation verschiedener Varianten von schädlichen Nutzdaten, trugen diese in Passwort-geschützten Zip-Archiven. Das Passwort war bei verschiedenen Angriffen identisch und zudem im jeweiligen Dropper selbst hart kodiert. Eigentlich soll über den Passwortschutz verhindert werden, dass automatische Systeme die Nutzdaten extrahieren und analysieren. In diesem Fall half er aber den Experten, die Angreifer zu identifizieren.
Weitere Hinweise lieferten eine spezielle Technik, mit der die Angreifer ihre Spuren in den infizierten Systemen verwischen wollten, sowie Methoden, um einer Erkennung durch Anti-Virussoftware zu entgehen. So konnten Dutzende von zuvor nicht identifizierbaren Angriffen ein und demselben Aggressor zugeordnet werden.
Angreifer sitzen wahrscheinlich in Asien
Analysiert man die Zeitpunkte der Kompilierung der Samples, so zeigt sich, dass die ersten bereits 2009 entstanden sind, also fünf Jahre vor dem unrühmlichen Vorfall bei SPE. Seit 2010 nimmt die Anzahl der Samples stark zu. Die Lazarus-Gruppe gilt damit als stabiler Aggressor mit langem Atem. Die Metadaten der Samples lassen erkennen, dass die meisten davon zu typischen Bürozeiten in Asien kompiliert wurden.
„Wie von uns vorhergesagt, steigt die Anzahl der Wiper-Angriffe stetig an. Die Malware erweist sich damit als hocheffektive Cyberwaffe“, warnt Juan Guerrero, Senior Security Researcher bei Kaspersky Lab. „Wer auf Knopfdruck Tausende von Rechner lahmlegen kann, hinter dem steckt vermutlich ein spezielles Team für das Eindringen in Computernetzwerke, das sich der Desinformation und Zerstörung der angegriffenen Unternehmen verschrieben hat. In einem hybriden Kriegsszenario wären Wiper-Attacken, die mit physischen Angriffen auf die Infrastruktur eines Landes kombiniert werden, eine starke Waffe. Was wie ein Gedankenexperiment klingt, liegt womöglich näher an der Realität, als uns lieb sein kann. Wir sind daher stolz, gemeinsam mit unseren Partnern dem skrupellosen Treiben dieses Angreifers etwas entgegensetzen zu können.“
„Dieser Aggressor hat die notwendigen Fähigkeiten und die Entschlossenheit, um Cyberspionageoperationen durchzuführen, die mit Datendiebstahl und -Sabotage einhergehen. In Kombination mit Desinformations- und Deception-Techniken konnten die Angreifer in den vergangenen Jahren erfolgreich eine Reihe von Operationen durchführen“, sagt Jamie Blasco, Chief Scientist bei AlienVault. „Die Operation Blockbuster ist ein Beispiel dafür, wie über den branchenweiten Informationsaustausch und die Zusammenarbeit, die Sicherheit erhöht und dieser Akteur davon abgehalten werden kann, seine Operationen weiter durchzuführen.“
„Die Operation Blockbuster gibt Novetta, Kaspersky Lab und den anderen Partnern die Möglichkeit, die Aktivitäten global agierender Aggressoren massiv zu stören und zukünftige Schäden zu verhindern“, ergänzt Andre Ludwig, Senior Technical Director der Novetta Threat Research and Interdiction Group. „Eine derart tiefgehende technische Analyse, wie sie mit der Operation Blockbuster durchgeführt wurde, ist selten. Und dass die Ergebnisse mit anderen Partnern in der Branche geteilt werden, ist noch seltener. Alle können jetzt davon profitieren.“
Mehr zu den Ergebnissen von Kaspersky Lab über die Aktivitäten der Lazarus-Gruppe findet sich im Blogbeitrag https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/
Die Ergebnisse von Novetta sind festgehalten unter www.OperationBlockbuster.com
[1]https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/
[2]http://www.nknews.org/2013/03/south-korean-banks-broadcasters-paralyzed-by-cyber-attack/
[3]https://blogs.mcafee.com/mcafee-labs/dissecting-operation-troy-cyberespionage-in-south-korea/
Nützliche Links:
- Analyse von Kaspersky Lab zur Lazarus-Gruppe: https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/