Tras el ataque contra la famosa productora de cine, Sony Pictures Entertainment en 2014, el grupo de analistas de Kaspersky Lab (GReAT) comenzó a investigar muestras del malware Destover utilizado en este ataque. Esto condujo a un análisis más amplio de otras actividades de ciberespionaje y cibersabotaje dirigidas a instituciones financieras, medios de comunicación y fabricantes, entre otros.

Basándose en las características comunes de las diferentes familias de malware, Kaspersky Lab -junto con los demás participantes de la Operación Blockbuster-, fueron capaces de agrupar decenas de ataques aislados y determinar que todos ellos pertenecían al mismo grupo cibercriminal. Lazarus Group llevaba varios años activo antes del incidente de Sony Pictures. De hecho, tras analizar el malware, los expertos han confirmado la conexión del incidente de Sony con la Operación DarkSeoul dirigida a bancos y medios de comunicación de Seúl y con la Operación Troy contra las fuerzas militares de Corea del Sur.

Durante el análisis, los expertos de Kaspersky Lab intercambiaron los primeros hallazgos con AlienVault Labs con el fin de llevar a cabo una investigación conjunta. Al mismo tiempo, otras compañías y especialistas de seguridad también seguían la actividad de Lazarus Group. Una de esas empresas, Novetta, comenzó a publicar información de la inteligencia sobre las operaciones de este grupo cibercriminal. Como parte de la Operación Blockbuster, Kaspersky Lab, junto a Novetta, AlienVault Labs y otros partners de la industria de la seguridad, han hecho públicos los principales datos de esta investigación.

Una aguja en un pajar
Tras analizar las numerosas muestras de malware detectadas en diferentes incidentes de ciberseguridad y crear normas especiales de detección, los investigadores de la Operación Blockbuster fueron capaces de identificar algunos ataques dirigidos por este grupo cibercriminal.

El nexo de unión entre las muestras y el grupo cibercriminal fue descubierto durante el análisis de los métodos utilizados por este actor. Los expertos concluyeron que esta organización reutilizó código, tomando prestados fragmentos de algunos programas maliciosos para utilizarlos en otros.

Además, los analistas confirmaron similitudes en el modus operandi de estos cibercriminales. Cuando analizaban los diferentes tipos de ataques, descubrieron que los droppers -archivos especiales utilizados para instalar código malicioso adicional- mantenían sus componentes en un archivo ZIP protegido con contraseñas utilizadas en anteriormente. La protección por contraseña se usaba para evitar que los sistemas de seguridad extrajeran y analizaran el contenido automáticamente. Sin embargo, esto ayudó a que los analistas los identificaran.

El método usado por los ciberdelincuentes para borrar su rastro tras infectar un sistema, junto con las técnicas para evitar la detección de los antivirus, dio a los analistas más pistas sobre sus ataques. De este modo, decenas de ataques dirigidos y de carácter desconocido fueron vinculados al mismo actor.

Geografía de la operación
El análisis de las fechas de las muestras demostró que estos ataques ya se habían perpetrado en 2009, cinco años antes del ataque a Sony. El número de nuevas muestras creció rápidamente desde 2010, demostrando que Lazarus Group representaba una amenaza estable. Tras el análisis de los metadatos extraídos de las muestras investigadas, la mayor parte de los programas maliciosos usados por esta organización fueron detectados durante las horas de trabajo GMT+8 y GMT+9.

“El número de ataques creció de manera constante. Este tipo de malware es una ciberarma muy poderosa ya que permite borrar miles de ordenadores con sólo pulsar un botón, una recompensa más que significativa para esta CNE (Computer Network Exploitation) encargada de atacar a las empresas objetivo. Estos ataques, junto con los ataques cinéticos dirigidos a paralizar la infraestructura de un país, son un experimento interesante que debemos tener en cuenta: están más cerca de la realidad de lo que creemos”, ha asegurado Juan Guerrero, analista senior de Kaspersky Lab.

“Este grupo tiene las habilidades y la determinación necesaria para llevar a cabo operaciones de ciberespionaje con el fin de robar datos. Estas características junto con el uso de técnicas de desinformación y engaño, han hecho posible que estos ciberdelincuentes hayan lanzado con éxito varias operaciones en los últimos años”, ha asegurado Jaime Blasco, jefe científico en AlienVault. Además, considera que “la Operación Blockbuster es un ejemplo de cómo el intercambio y la colaboración en la industria pone el listón muy alto a la hora de evitar que este grupo continúe con sus operaciones”.

“A través de la Operación Blockbuster, Novetta, nuestros partners y Kaspersky Lab hemos sumado esfuerzos para establecer una metodología e interrumpir y mitigar estos ataques”, ha afirmado Andre Ludwig, director técnico senior de Novetta Threat Research and Interdiction Group. Asimismo, ha asegurado que “el nivel de análisis realizado en la Operación Blockbuster es inusual, pero compartir con la industria nuestros descubrimientos, lo es más aún”.