返回新闻列表

卡巴斯基实验室携手业内合作伙伴共同对抗Lazarus

        卡巴斯基实验室非常荣幸能够同Novetta和其它业内合作伙伴共同参加重磅炸弹行动(Operation Blockbuster)。这次行动的目标是干扰Lazarus网络攻击组织的活动。Lazarus是一个非常危险的网络犯罪组织,曾经在全球范围内针对多家企业进行过数据破坏行动以及传统的网络间谍攻击行动。有人认为, 2014年针对索尼影业公司的攻击以及2013年针对媒体和金融机构的DarkSeoul攻击行动的幕后黑手都是Lazarus网络攻击组织。

        2014年,知名电影制作公司索尼影业(SPE)遭遇了一场毁灭性的攻击。之后,卡巴斯基实验室的全球研究和分析团队(GReAT)开始对这次攻击中所使用的被称为Destover的恶意软件样本进行调查。调查发现,这次攻击同大量针对金融机构、媒体和制造企业等公司的一系列网络间谍攻击行动和网络破坏行动有关。

       根据不同恶意软件家族的常见特征,卡巴斯基实验室专家将这些独立的攻击分为十组,并且认为这些攻击幕后的网络罪犯组织是同一个。而参与重磅炸弹行动的其它组织同样在自己的分析结果中验证了这一事实。

       早在对索尼影业公司进行攻击前,Lazarus网络攻击组织就已经活跃了多年,而且现在似乎仍然在活动。通过研究,卡巴斯基实验室和其它参加重磅炸弹行动的组织确认了多次攻击行动中所使用的恶意软件之间存在联系,例如针对首尔的银行和广播公司的DarkSeoul攻击行动以及针对韩国军事机构进行的特洛伊攻击行动和针对索尼影业的攻击行动。

       调查过程中,卡巴斯基实验室的研究人员同AlienVault Labs交换了初步研究结果。最后,两家公司的研究人员决定联手,对这一威胁进行联合调查。与此同时,还有很多公司和安全专家也在对Lazarus攻击组织的行动进行调查。其中一家名为Novetta的公司启动了一项预案,目的是发表关于Lazarus攻击组织活动的最为全面和最有行动价值的情报信息。作为重磅炸弹行动的一员,卡巴斯基实验室同Novetta、AlienVault Labs和其他业内合作伙伴发表了针对这种威胁的研究结果,目的是让更多的人了解情况并从中获益。

大海捞针

       通过对不同网络攻击行动中所发现的恶意软件样本进行分析,创建特殊的检测规则,卡巴斯基实验室、AlienVault和其他重磅炸弹行动专家查明了一些由Lazarus攻击组织实施的攻击行动。

       我们在对这一攻击组织所使用的攻击手段进行分析时,发现他们使用的多种恶意软件样本之间存在联系。根据发现,这些攻击者会循环使用代码,会从一种恶意程序中借用一些代码片段,应用到另一种恶意程序中。

       此外,研究人员还发现攻击者的作案手段有相似之处。在对不同的攻击行为进行分析时,分析人员发现攻击者使用的释放器(一种特殊文件,用来安装不同版本恶意模块)全部将恶意模块保存在一个受密码保护的ZIP压缩包中。不同攻击行动中所使用的压缩包的密码为同一个,而且这些密码被强制编译到释放器中。之所以使用密码进行保护,是为了避免自动对恶意模块进行解压和分析,但是事实上,这种保护手段却保护研究人员确定了这一攻击组织。

       攻击者使用一种特殊手段,试图清除自身在受感染系统上的痕迹,还采用了一些技巧躲避反病毒产品的检测。这些特征,同样帮助研究人员对相关攻击进行了分类。最后,研究人员确定了有十多起不同的针对性攻击均同一个网络攻击组织有关,而之前这些攻击的幕后操作者是谁并不清楚。

攻击的范围

       对恶意软件样本的编译日期进行分析显示,这些恶意软件最早的编译时间在2009年,比对索尼影业攻击还早五年。从2010年开始,最新的恶意软件样本数量急剧增加。这些特征表明,Lazarus是一个发展稳定并且很长久的网络攻击组织。根据从受调查样本中提取到的原数据,Lazarus攻击组织所使用的大多数恶意程序的编译时间都是GMT=8—GMT+9时区的工作时间。

       “正如我们的预测,毁灭性攻击的数量稳固增长。事实证明,这类恶意软件是一种非常高效的网络武器。这种通过按下一个按钮,就可以摧毁数千台计算机的力量对于想要攻击和感染目标企业的计算机网络攻击团队来说,是一种重要的筹码。这种毁灭性攻击的价值在于其可以参与到网络混战中,同其它攻击配合,破坏被攻击国家的基础设施。这种作战方法虽然只是一种实验性的想法,但其距离现实并不远,这一事实确实无法让我们坦然处之。我们同业内合作伙伴一起,抑制了会利用这种毁灭性攻击技术的不择手段的网络攻击组织采取进一步行动,”卡巴斯基实验室资深安全研究员Juan Guerrero说。

       “这个攻击组织有足够的技术和决心实施网络间谍攻击行动,窃取数据或进行破坏。将上述攻击手段同假情报和欺骗技术结合起来,攻击者成功地在过去几年发动了多起攻击行动,”AlienVault首席科学家Jaime Blasco说,“重磅炸弹行动为业内广泛的信息共享和合作树立了榜样,阻止了这一攻击组织继续进行攻击行动。”

       “通过重磅炸弹行动,Novetta、卡巴斯基实验室和我们的合作伙伴不懈地寻找对抗手段,干扰对全球威胁较大的攻击组织所发动的攻击行动,避免这些攻击进一步造成危害,”Novetta威胁研究和应对机关技术总监Andre Ludwig说,“在重磅炸弹行动中,我们在深度技术分析所达到的水平方面很罕见。同时在同业内合作伙伴进行信息分享,促进理解方面所达到的程度更为罕见。”

       要了解更多关于卡巴斯基实验室对Lazarus攻击组织的调查结果,请访问Securelist.com.

       想要了解更多关于Novetta对于Lazarus攻击组织的调查发现,请访问:www.OperationBlockbuster.com.