Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab contribue au démantèlement de l’activité du groupe Lazarus, responsable de multiples cyberattaques dévastatrices

février 2016 par Kaspersky Lab

Aux côtés de Novetta et d’autres partenaires du secteur, Kaspersky Lab est fier d’annoncer sa participation à l’Opération « Blockbuster », ayant pour objectif de démanteler l’activité du groupe malveillant Lazarus, responsable de la destruction de données ainsi que de campagnes de cyberespionnage contre de multiples entreprises à travers le monde. Ce groupe est soupçonné d’être à l’origine de l’attaque contre Sony Pictures Entertainment en 2014 ou encore de l’Opération DarkSeoul qui avait ciblé des médias et des établissements financiers en 2013.

A la suite d’une attaque dévastatrice contre la célèbre société de production Sony Pictures Entertainment (SPE) en 2014, l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a entrepris des investigations sur des échantillons du malware Destover, notoirement utilisé pour cette attaque. Cela a abouti à des recherches plus vastes sur une série de campagnes apparentées de cyberespionnage et de cybersabotage visant notamment des établissements financiers, des médias et des fabricants.

D’après les caractéristiques communes aux différentes familles de malwares, les experts de la société ont pu regrouper des dizaines d’attaques isolées et déterminer qu’elles avaient toutes la même origine, comme les autres participants de l’Opération Blockbuster l’ont confirmé dans leurs propres analyses.

Le groupe malveillant Lazarus sévissait depuis plusieurs années au moment de l’incident chez SPE et il semble être toujours actif aujourd’hui. Kaspersky Lab et les recherches des autres participants de Blockbuster confirment l’existence d’un lien entre les malwares employés dans diverses campagnes, telles que l’Opération DarkSeoul[1] contre des banques et des médias implantés dans la capitale sud-coréenne, l’Opération Troy[2] contre des forces militaires également en Corée du Sud ainsi que l’incident chez Sony Pictures.

Au cours de leurs investigations, les chercheurs de Kaspersky Lab ont échangé leurs découvertes préliminaires avec leurs homologues d’AlienVault Labs. Les chercheurs des deux sociétés ont finalement décidé de mettre en commun leurs efforts pour mener une enquête conjointe. Parallèlement, l’activité du groupe Lazarus a fait l’objet d’investigations par de nombreux spécialistes de la sécurité. L’un d’entre eux, Novetta, a lancé une initiative visant à la publication des informations les plus complètes et exploitables possibles sur l’activité du groupe Lazarus. C’est ainsi que, dans le cadre de l’Opération Blockbuster aux côtés de Novetta, d’AlienVault Labs et d’autres partenaires du secteur, Kaspersky Lab publie les résultats de ses recherches dans l’intérêt général.

Une meule de foin pleine d’aiguilles

En analysant de multiples échantillons de malwares repérés dans les différents incidents de cybersécurité et en créant des règles spéciales de détection, Kaspersky Lab, AlienVault et les autres spécialistes participant à l’Opération Blockbuster ont pu identifier un certain nombre d’attaques comme provenant du groupe Lazarus.

Le lien entre ces divers échantillons et un seul et même groupe ressort de l’analyse des méthodes utilisées par ce dernier. En particulier, il a été découvert que les auteurs des attaques réutilisent volontiers du code, en reprenant des fragments d’un programme malveillant pour l’utiliser dans un autre.

Par ailleurs, les chercheurs ont observé des similitudes dans le mode opératoire des attaques. L’analyse des composantes des différentes attaques a révélé que les « droppers » – des fichiers spéciaux servant à installer différentes variantes d’une charge malveillante – conservaient tous leur charge dans une archive ZIP protégée par mot de passe. Or ce mot de passe était identique d’une campagne à l’autre et codé « en dur » dans le dropper. La protection par mot de passe avait pour but d’empêcher des systèmes automatiques d’extraire et d’analyser la charge mais elle n’a en réalité fait qu’aider les chercheurs à identifier le groupe.

Une méthode spéciale employée par les criminels pour tenter d’effacer les traces de leur présence sur un système infecté ainsi que certaines techniques destinées à échapper à la détection par des antivirus ont également fourni aux chercheurs des indices supplémentaires pour relier les attaques entre elles. En définitive, ce sont des dizaines d’attaques ciblées différentes, dont les auteurs étaient jusque-là non identifiés, qui ont pu être imputées à un seul et même groupe.

Théâtre de l’Opération

L’analyse des dates de compilation des échantillons indique que les plus anciens pourraient remonter à 2009, soit cinq ans avant l’attaque contre Sony. Le nombre de nouveaux échantillons n’a cessé d’augmenter depuis 2010, ce qui montre que le groupe Lazarus est une menace persistante de longue date. D’après les métadonnées extraites des échantillons étudiés, la plupart des programmes malveillants utilisés par le groupe Lazarus semblent avoir été compilés pendant les heures de bureau des fuseaux horaires GMT+8 ou GMT+9.

« Comme nous l’avions prévu, le nombre d’attaques de type “wiper” n’a cessé de croître. Ce type de cyberarme se révèle d’une grande efficacité. La capacité d’effacer le contenu de milliers d’ordinateurs d’une simple pression de touche est une bénédiction pour un groupe malveillant se donnant pour but de semer la désinformation et le chaos chez ses cibles. Son intérêt dans le cadre d’une guerre hybride, où les attaques de type « wiper » sont couplées à des attaques cinétiques pour paralyser les infrastructures d’un pays, demeure un exercice mental intéressant qui nous rapproche de la réalité que nous connaissons. Aux côtés de nos partenaires du secteur, nous sommes fiers de porter un coup aux activités d’un groupe sans scrupules cherchant à exploiter ces techniques dévastatrices », commente Juan Guerrero, chercheur senior en sécurité chez Kaspersky Lab.

« A travers l’Opération Blockbuster, Novetta, Kaspersky Lab et nos autres partenaires poursuivent leurs efforts pour mettre sur pied une méthodologie destinée à démanteler des groupes à l’origine d’attaques de grande ampleur au niveau mondial et à tenter de les empêcher de causer davantage de dommages », ajoute Andre Ludwig, directeur technique du groupe Threat Research & Interdiction de Novetta. « Le niveau d’analyse technique approfondie qui entre dans l’Opération Blockbuster n’est déjà pas courant mais le partage de nos découvertes avec nos partenaires du secteur au bénéfice de tous l’est encore moins. »

« Cet acteur possède les compétences et la détermination nécessaires pour effectuer des opérations de cyberespionnage dans le but de voler des données ou de faire des dégâts. Avec l’utilisation de techniques de désinformation et de manipulation qui viennent s’ajouter, les assaillants ont pu lancer avec succès plusieurs opérations au cours des dernières années », a déclaré Jaime Blasco, directeur scientifique chez AlienVault. « Opération Blockbuster est un exemple de la façon dont le partage d’information et la collaboration à l’échelle de l’industrie peuvent leur compliquer la tâche et empêcher cet acteur de poursuivre ses opérations. "


Voir les articles précédents

    

Voir les articles suivants