Xóa bỏ hoạt động của nhóm Lazarus chuyên tấn công mạng

Cùng với Novetta và những cộng sự trong ngành bảo mật, Kaspersky Lab đã công bố sự đóng góp trong chương trình Operation Blockbuster nhằm xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.
Xóa bỏ hoạt động của nhóm Lazarus chuyên tấn công mạng

Cùng với Novetta và những cộng sự trong ngành bảo mật, Kaspersky Lab đã công bố sự đóng góp trong chương trình Operation Blockbuster nhằm xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.

Đáng chú ý, những kẻ tấn công được cho là đứng sau cuộc tấn công vào hãng Sony Pictures Entertainment năm 2014 và hoạt động DarkSeoul nhắm vào truyền thông và tổ chức tài chính năm 2013. Sau khi cuộc tấn công tàn khốc vào Công ty sản xuất phim nổi tiếng Sony Pictures Entertainment (SPE) diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) bắt tay vào điều tra với mẫu phần mềm độc hại Destover được sử dụng công khai trong cuộc tấn công, dẫn đến cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.

Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận mối liên hệ giữa phần mềm độc hại được dùng trong nhiều chiến dịch, ví dụ chiến dịch DarkSeoul nhắm vào ngân hàng và đài phát thanh Seoul, chiến dịch Troy nhắm vào lực lượng vũ trang Hàn Quốc và vụ việc hãng Sony Pictures. Trong quá trình điều tra, các nhà nghiên cứu tại Kaspersky Lab đã trao đổi những phát hiện sơ bộ với AlienVault Labs. Cuối cùng, các nhà nghiên cứu tại 2 công ty quyết định hợp sức điều tra. Đồng thời, nhiều công ty và chuyên gia bảo mật cũng điều tra hoạt động của Lazarus.

Phân tích thời gian của bộ mẫu thử cho thấy mẫu đầu tiên đã xuất hiện từ rất lâu vào năm 2009, 5 năm trước cuộc tấn công khét tiếng vào Sony. Số lượng mẫu thử mới tăng đáng kể từ năm 2010. Điều này cho thấy nhóm Lazarus là một mối đe dọa ổn định và đã có từ lâu. Dựa trên siêu dữ liệu được xuất ra từ mẫu thì phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT+8 – GMT+9.

Andre Ludwig, Giám đốc kỹ thuật, Tập đoàn Novetta chia sẻ: “Thông qua Through Operation Blockbuster, Novetta, Kaspersky Lab và các cộng sự của chúng tôi đã và đang cố gắng tìm ra phương pháp để xóa bỏ hoạt động của các nhóm tấn công trên toàn thế giới và nỗ lực để giảm thiểu tổn thất. Mức độ tỉ mẩn của kỹ thuật phân tích dùng trong Operation Blockbuster rất đáng quý, và việc chia sẻ phát hiện của chúng tôi với các đối tác trong ngành để tăng thêm sự hiểu biết thì lại càng đáng quý hơn”.

Bằng cách phân tích nhiều mẫu phần mềm độc hại được tìm thấy trong nhiều vụ việc an ninh mạng và thành lập phương pháp kiểm tra đặc biệt, Kaspersky Lab, AlienVault và các chuyên gia khác tại Operation Blockbuster đã xác định được nhiều cuộc tấn công do nhóm Lazarus tiến hành.

Mối liên hệ giữa nhiều vật mẫu và một nhóm người được tìm thấy trong khi điều tra phương pháp do nhóm người này thực hiện. Cụ thể, tin tặc tích cực sử dụng lại đoạn mã ngắn từ một chương trình độc hại này cho một chương trình độc hại khác.

Bên cạnh đó, các nhà nghiên cứu đã tìm thấy sự giống nhau trong cách hoạt động của tin tặc. Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra dropper – tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại – tất cả đều được khóa bằng mật khẩu được bảo vệ bằng bản sao file ZIP.

KIM THANH

Tin cùng chuyên mục