Operação Blockbuster desmonta grupo responsável por ataques à Sony
Além da empresa cinematográfica, o Lazarus realizou ataques a empresas e tropas militares da Coreia do Sul
A atividade do grupo de cibercriminosos conhecido pelos ataques à Sony Pictures em dezembro de 2014 foi desmontada pela Operação Blockbuster, formada por diversas empresas de segurança virtual. Os ataques a empresa cinematográfica foram feitos dias antes do lançamento de A Entrevista. No filme, dois jornalistas criam um plano para matar Kim Jong-un, líder da Coreia do Norte. A operação realizou diversas análises sobre o malware Destover, utilizado pelo grupo cibercriminoso para atacar diversas regiões do mundo, incluindo o Brasil.
Conhecido como Lazarus, o grupo foi responsável pela destruição de dados e por campanhas de ciberespionagem contra várias empresas. O trabalho de pesquisa conseguiu agrupar dezenas de ataques isolados e determinar que eles pertenciam ao mesmo autor.
Ao analisar diversas amostras de malware e criar regras de detecção, os pesquisadores foram capazes de identificar semelhanças na forma como os cibercriminosos atuavam. Os especialistas descobriram que trechos de códigos maliciosos estavam sendo frequentemente reutilizado em outros ataques. Além disso, a análise apontou que o Lazarus mantinha códigos usados em ataques em arquivos protegidos por senha. O erro dos cibercriminosos foi utilizar a mesma senha em vários arquivos, o que facilitou os trabalhos da Operação Blockbuster.
O Lazarus também utilizava um método especial para tentar limpar o rastro deixado em sistema infectados, além de algumas técnicas para evitar a detecção de antivírus. De acordo com a Kaspersky Lab, uma das empresas de segurança que colaborou com as análises, o grupo Lazarus já atuava antes dos ataques a empresa cinematográfica e, aparentemente, continua em atividade.
O grupo foi apontado como o responsável pelas operações DarkSeoul, que atingiu empresas sediadas na capital sul-coreana, e Troy, que atacou tropas militares na Coreia do Sul, em 2013. As amostras utilizadas pela Operação Blockbuster indicam que o primeiro ataque do grupo ocorreu em 2009 e que as variações do malware se tornaram cada vez mais comuns.