Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet

Für zahlreiche verheerende Angriffe verantwortlich

[datensicherheit.de, 24.02.2016] Im Rahmen der „Operation Blockbuster“ hat KASPERSKY lab nach eigenen Angaben mit Novetta und anderen Branchenpartnern zusammengearbeitet, um die Aktivitäten der sogenannten „Lazarus-Gruppe“ zu beenden, welche für Datensabotage und weltweite Cyberspionage-Aktivitäten gegen zahlreiche Unternehmen verantwortlich gemacht wird.

Verheerende Angriffen auf Sony Pictures Entertainment

So soll diese Gruppe von Cyberkriminellen für die Angriffe auf die Filmproduktion Sony Pictures Entertainment (SPE) im Jahr 2014 und die Operation „DarkSeoul“ gegen Medien und Finanzinstitute im Jahr 2013 verantwortlich sein.
Nach den „verheerenden Angriffen“ auf SPE hätten die KASPERSKY-Experten im Jahr 2014 mit einer Inspektion der Samples der damals unter dem Namen „Destover“ bekannten Malware begonnen. Daran habe sich eine breitere Untersuchung einer Reihe ähnlicher Kampagnen im Bereich Cyberspionage und -sabotage angeschlossen, die sich unter anderem gegen Finanzinstitute, Medien und Hersteller gerichtet hätten.

Einkreisung des Angreifers

Durch dabei festgestellte Parallelen hätten die Sicherheitsexperten Dutzende von bislang als eigenständig geltenden Attacken ein und demselben Angreifer zuordnen können. Dies hätten auch die Analysen der anderen Beteiligten an der „Operation Blockbuster“ bestätigt.
Die „Lazarus-Gruppe“ sei demnach bereits Jahre vor dem Angriff auf SPE aktiv gewesen – und sei es wohl auch bis zum heutigen Tag geblieben. Neben der Verbindung zu SPE sehe man Zusammenhänge zu Malware aus Kampagnen wie den Operationen „DarkSeoul“ gegen in Seoul ansässige Banken und Medien sowie „Troy“ gegen die Streitkräfte Südkoreas.

Angreifer in Asien vermutet

Die in der „Operation Blockbuster“ zusammengeschlossenen Partner hätten durch die Analyse diverser Samples aus verschiedenen Cybersicherheits-Vorfällen mit Hilfe spezieller Mechanismen eine ganze Reihe von Angriffen der „Lazarus-Gruppe“ zuordnen können.
Ein wichtiges, bei der Analyse gefundenes Bindeglied sei die Wiederverwendung von Code-Fragmenten in verschiedenen Schadprogrammen gewesen. Darüber hinaus habe es Ähnlichkeiten bei der Vorgehensweise gegeben. Dropper, also Dateien zur Installation verschiedener Varianten von schädlichen Nutzdaten, trügen diese in Passwort-geschützten Zip-Archiven. Das Passwort sei bei verschiedenen Angriffen identisch und zudem im jeweiligen Dropper selbst hart kodiert gewesen. Eigentlich solle über den Passwortschutz verhindert werden, dass automatische Systeme die Nutzdaten extrahieren und analysieren. In diesem Fall habe er aber den Experten geholfen, die Angreifer zu identifizieren.
Weitere Hinweise habe eine spezielle Technik geliefert, mit der die Angreifer ihre Spuren in den infizierten Systemen hätten verwischen wollen, sowie Methoden, um einer Erkennung durch Anti-Virussoftware zu entgehen. So habe man Dutzende von zuvor nicht identifizierbaren Angriffen ein und demselben Aggressor zuordnen können.
Analysiere man die Zeitpunkte der Kompilierung der Samples, so zeige sich, dass die ersten bereits 2009 entstanden seien, also fünf Jahre vor dem unrühmlichen Vorfall bei SPE. Seit 2010 nehme die Anzahl der Samples stark zu. Die „Lazarus-Gruppe“ gelte damit als „stabiler Aggressor mit langem Atem“. Die Metadaten der Samples ließen erkennen, dass die meisten davon zu typischen Bürozeiten in Asien kompiliert worden seien.

Warnung vor Malware als kriegstaugliche Cyberwaffe

Wie von ihnen vorhergesagt, steige die Anzahl der „Wiper-Angriffe“ stetig an. Die Malware erweise sich damit als „hocheffektive Cyberwaffe“, warnt Juan Guerrero, „Senior Security Researcher“ bei KASPERSKY lab. Wer auf Knopfdruck Tausende von Rechner lahmlegen könne, hinter dem stecke vermutlich ein spezielles Team für das Eindringen in Computernetzwerke, das sich der Desinformation und Zerstörung der angegriffenen Unternehmen verschrieben habe. In einem hybriden Kriegsszenario wären „Wiper-Attacken“, die mit physischen Angriffen auf die Infrastruktur eines Landes kombiniert würden, eine starke Waffe. Was wie ein Gedankenexperiment klinge, liege womöglich näher an der Realität, als uns lieb sein könne.
Dieser Aggressor habe die notwendigen Fähigkeiten und die Entschlossenheit, um Cyberspionage-Operationen durchzuführen, die mit Datendiebstahl und -sabotage einhergingen. In Kombination mit Desinformations- und Deception-Techniken hätten die Angreifer in den vergangenen Jahren erfolgreich eine Reihe von Operationen durchführen können, sagt Jamie Blasco, „Chief Scientist“ bei AlienVault.

Branchenweiter Informationsaustausch zur Stärkung der Sicherheit

Die „Operation Blockbuster“ gebe Novetta, KASPERSKY lab und den anderen Partnern die Möglichkeit, die Aktivitäten global agierender Aggressoren massiv zu stören und zukünftige Schäden zu verhindern, ergänzt Andre Ludwig, „Senior Technical Director“ der Novetta Threat Research and Interdiction Group. Eine derart tiefgehende technische Analyse, wie mit der „Operation Blockbuster“ durchgeführt, sei selten. Dass die Ergebnisse mit anderen Partnern in der Branche geteilt würden, sei gar noch seltener. Alle könnten jetzt davon profitieren.

Weitere Informationen zum Thema:

KASPERSKY lab, 24.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns

*OPERATION* BLOCKBUSTER
Private Industry Takes Action Against Global Cyber Threats