Ataque a Sony aun bajo investigación
El ciberataque a Sony, uno de los más graves y más populares, supuso en cierta medida un antes y un después en el mundo de la ciberseguridad. No sólo porque usaron un destructivo malware contra una entidad comercial como esa, sino porque llegó a tal magnitud que incluso se llegó a atribuir el ataque a otra nación. Novetta, junto con una coalición de un grupo de empresas privadas, han trabajado conjuntamente para identificar y comprender el ciberataque y al grupo cibercriminal que estuvo detrás: Lazarus Group. Tras el ciberataque a Sony, la operación Blockbuster comenzó en diciembre de 2014, de forma independiente a las investigaciones que se estaban llevando a cabo por las autoridades.
Como explican los responsables de la operación, su intención no sólo era identificar las herramientas e infraestructuras usadas por Lazarus Group, sino también clarificar los detalles que rodean al incidente de noviembre de 2014 y detectar su modus operandi. Este grupo de cibercriminales, ha continuado desarrollando herramientas y buscando nuevos objetivos desde entonces.
Una de las empresas que ha participado en esta operación es Kaspersky Lab, que afirma que su grupo de analistas comenzó a investigar muestras del malware usado en el ataque: Destover.
El modus operandi de Lazarus Group
Basándose en las características comunes de varias familias de malware, en la Operación Blockbuster han sido capaces de agrupar decenas de ataques aislados, y de esta forma determinar que todos corresponden al mismo grupo de cibercriminales.
Los investigadores han descubierto que la organización reutilizó código, cogiendo fragmentos de unos programas maliciosos para usarlos en otros. Los analistas también detectaron similitudes en la forma de actuar de Lazarus Group. Descubrieron que los droppers (archivos usados para instalar código malicioso extra), mantenían sus componentes en un archivo ZIP protegido con contraseñas que se habían usado con anterioridad. La protección con contraseña la usaban para evitar que los sistemas de seguridad analizaran el contenido de forma automática. Pero este aspecto hizo que los analistas los identificaran.
Al parecer, el método utilizado por el grupo de cibercriminales para intentar borrar sus rastros después de infectar los sistemas, y sus técnicas para evitar la detección de los antivirus, ha sido precisamente lo que ha dado más pistas a los analistas.
Según la información analizada, este grupo ya atacó con técnicas similares en 2009, cinco años antes del ataque a Sony. Además, consiguieron averiguar incluso la hora “estándar” a la que solían lanzar los ataques: en horario de oficina.
Según explica la firma de seguridad Kaspersky Lab, la ciberarma usada por este grupo es muy potente, ya que “permite borrar miles de ordenadores con sólo un botón”. Tras analizar las herramientas usadas, se han dado cuenta de que este grupo tiene las “habilidades y la determinación necesaria para llevar a cabo operaciones de ciberespionaje con el fin de robar datos”
Toda la información y los descubrimientos realizados en la operación se encuentran disponibles en la web www.operationblockbuster.com