روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ صبح روز 24 نوامبر سال 2014 یک گروه از هکرها به اطلاعات طبقه بندی شده کارکنان شرکت سونی نفوذ کردند. در آن روز یک گروه هکر ناشناخته سرور شرکت را هک کرد و اطلاعات محرمانه این شرکت را منتشر کرد و در نهایت باعث شد سونی زمان زیادی را خرج این خرابکاری کند. FBI به هکرهای کره شمالی مظنون بود. از آن زمان اطلاعات زیادی در مورد این گروه وجود نداشت و هم اکنون آنها شناسائی شده اند.
لابراتوار کسپرسکی با همکاری شرکت های Novetta و AlienVault در یک تحقیق مشترک فعالیت گروه لازاروس را به خوبی رمزگشایی کردند. این گروه مسئولیت هک اطلاعات سونی، بانک مرکزی سئول و پخش این اطلاعات در سال 2013 را به عهده گرفته بود.
پس از بدنام شدن شرکت سونی متخصصین ما پس از مراحل تجزیه و تحلیل بدافزار Destrover را شناسائی کردند که در تمامی عملیات از آن استفاده شده بود. با مطالعاتی که بر روی هزاران کمپین سایبری صورت گرفت مشخص شد که این افراد از بدافزارهای ساده و گوناگونی استفاده می کنند که تعدادی ویژگی مشترک هم باهم دارند.
خوشحالیم که در این تحقیقات لابراتوار کسپرسکی نشان داد که می تواند با خط تولید گسترده بدافزارها مقابله کند.
گروه لازاروس دیگر چه کارهائی انجام داده بودند و ما چگونه توانستیم آنها را شناسائی کنیم؟
مهاجمان برای بار دوم فعالیتشان را شروع کردند: آنها بخشی از یک کد را از یک بدافزار برداشته و وارد یک برنامه مخرب دیگر کردند. علاوه بر این فایلهای خاصی را برای نصب تغییرات بدافزار در یک فایل Zip محافظت شده نگهداری می کردند. در همه حملات هم از یک رمز عبور استفاده می کردند. در حقیقت این یک کدگذاری مشکل به حساب می آمد.
روش مجرمان به این شکل بود که آثار حضور خود را در یک سیستم آلوده پاک می کردند و در نهایت هم به همین طریق شناسائی شدند.
تحقیقات نشان داد که گروه لازاروس درگیر مبارزات جاسوسی نظامی هم شده است و از این طریق به موسسات مالی، ایستگاه رسانه ها و شرکتهای تولیدی حمله می کند. تا جائی که ما می دانیم بسیاری از قربانیان از کشورهای کره جنوبی، هند، چین، برزیل، روسیه و ترکیه بودند. این مجرمان سایبری از بدافزار Hangman در سالهای (2014-2015) و از بدافزار Wild Positron (که در سال 2015 با نام Duuzer شناخته می شود) استفاده کرده بودند. بدافزار Wild Positron یکی از موضوعات مورد بحث در اجلاس تحلیلگر امنیت سال 2016 هم بود.
لابراتوار کسپرسکی نتایج این تحقیقات را با AlienVault به اشتراک گذاشت. در نهایت هم محققان این دو کمپانی تصمیم گرفتند در انجام تحقیقات مشترک باهم همکاری داشته باشند. بعدها مشخص شد که گروه لازاروس توسط بسیاری از کارشناسان امنیتی و شرکتهای گوناگون دیگر هم مورد تحقیق قرار گرفته بود. یکی از این شرکتها Novetta بود که طرح جالبی داد مبنی بر اینکه نتایج تحقیقات را به عنوان بخشی از کنترل یک بمب مخرب منتشر کنیم و ما هم از این طرح حمایت کردیم.
ما در مورد این مجرمان چه می دانیم؟
اولین نمونه از بدافزارهای تولید شده گروه لازاروس در سال 2009 مورد استفاده قرار گرفت. از سال 2010 به شکلی پویا نمونه های جدید افزایش یافتند. مشخص است که گروه لازاروس به مدتی طولانی یکه تاز این میدان بود. در فواصل سالهای 2014-2015 این گروه در بالاترین حجم بهره وری خود قرار داشت و برخی از مجرمان این گروه هنوز هم در سال 2016 فعالیت می کنند.
با قضاوت بر اساس جدول زمان بندی فعالیتهای اعضای گروه، آنها در GMT +8 یا GMT +9 زندگی می کنند. مجرمان در حدود نیمه شب (GMT 00) کارشان را آغاز و برای حدود ساعت 3AMGMT برای نهار و استراحت می روند. علاوه بر این روشن شد که اعضای گروه به کارشان اعتیاد دارند: آنها در آخرین روزها تا روزی 15-16 ساعت کار می کردند. گروه لازاروس یکی از فعال ترین گروههای APT می باشد (که ما در سال گذشته کاملا در مورد آنها آموزش دادیم).
در اینجا مشاهدات جالب دیگری هم وجود دارد. با بررسی که بر روی نمونه های مرجع گروه لازاروس توسط Novetta انجام شد مشخص شد که تقربیا دو سوم فایلهای اجرایی این مجرمان اینترنتی شامل عناصری می باشند که برای کاربران کره ای زبان استفاده می شود.
تحقیقات ما همچنان در حال پیشرفت است. شما می توانید اطلاعات بیشتری از گروه لازاروس و یافته های ما در Securelist پیدا کنید.
این عملیات کمک کرد که اطلاعات زیادی در مورد این گروه سایبری خطرناک بدست بیاید. به دلایل زیادی ما به تنهایی قادر نبودیم تا به این نتایج برسیم زیرا با مشکلاتی مانند طرحهای امنیتی، پراکندگی جغرافیایی شرکتهای توسعه یافته روبرو بودیم. همکاری ما با یکدیگر مثال بزرگی از یک اینترنت امن بود. زیرا ما با اشتراک گذاری اطلاعات مان در مورد این مجرمان توانستیم آنها را شناسائی کنیم.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.