Lazarus y Operación Blockbuster: el grupo tras los ataques a Sony
El análisis forense es un elemento fundamental en la seguridad informática, pues obtener todos los datos relacionados con los ataques sufridos permite tanto identificar los problemas de seguridad aprovechados por los atacantes, como buscar "huellas" que ayuden a identificar a los mismos. Y esto ha quedado probado, sin duda, con los datos revelados sobre Lazarus, el grupo de ciberdelicuentes que llevó a cabo los ataques contra Sony a finales de 2014, y que puso contra las cuerdas al gigante asiático. Y es que, según informa Computerworld, el grupo ahora caído se encontraría tras los ataques a un gran número de organizaciones, principalmente de Corea del Sur y de Estados Unidos.
Basado en patrones de actividad y tiempos de liberación de nuevas muestras de malware, los atacantes probablemente están en el huso horario GMT+8 o GMT+9. Pyongyang, Corea del norte, está en el GMT+9.
Los investigadores de Kaspersky Lab y AlienVault.
Uno de los datos más importantes de la investigación llevada a cabo por un consorcio de empresas de seguridad, que han dedicado varios años a investigar las actividades de Lazarus, es que en contra de la imagen que el grupo pretendía difundir (se autodenominaban Guardians of Peace) y que lo asociaba a un perfil hacktivista (hackers que atacan a entidades cuya ética se ha puesto en entredicho), es que las sospechas del FBI sobre la presencia de Corea del Norte tras el mismo se sostienen con los datos obtenidos por los investigadores. Según Kaspersky Lab, una de los integrantes del grupo de investigación, más del 60% del malware relacionado con Lazarus que han analizado contiene textos en coreano. Esto y que sus principales objetivos fueran Corea del Sur y Estados Unidos pone sobre la pista de las motivaciones políticas existentes tras muchos de los ataques.
Aunque la notoriedad de sus actividades toco techo en 2014 con el ataque a Sony, se ha desvelado que el grupo lleva realizando actividades desde 2009, tiempo en el que han desarrollado malwares con distintas funciones: ciberespionaje, ataques de denegación de servicio (DoS), robo y destrucción de archivos, etcétera, ataques que han dirigido tanto a empresas de todo tipo como a instituciones gubernamentales, sistemas de infraestructuras críticos, etc. Para tal fin se han valido de 45 familias de patógenos con hasta 1.000 variantes de todas ellas. Para poder desarrollar esta actividad a lo largo de los años, Lazarus contaba con una infraestructura profesional, dotada del personal y los recursos necesarios, al estilo de las organizaciones criminales especializadas en Internet, desgraciadamente tan comunes de un tiempo a esta parte.
La operación llevada a cabo para acabar con el grupo, denominada Blockbuster (no confundir con la empresa) en donde es posible tanto ampliar información sobre la misma como conocer la lista completa de participantes en el consorcio: AlienVault, Invincea, Kaspersky Lab, Novetta, PunchCyber, Symantec, ThreatConnect, Volexity, Trend Micro, Risk IQ, Carbon Black, JPCERT/CC y NetRisk.
Así, a la celebración por el buen resultado de los trabajos de este grupo, hay que sumar las felicitaciones a tan importantes actores en el panorama de la seguridad que, de nuevo, demuestran que cuando es necesario, y aunque en muchos casos sean competencia directa, pueden (y deben) aunar esfuerzos, pues sólo así es posible atacar a muchas de las amenazas de seguridad tanto del presente, como de lo que está por venir.
Fuente: MuyComputerPro
Basado en patrones de actividad y tiempos de liberación de nuevas muestras de malware, los atacantes probablemente están en el huso horario GMT+8 o GMT+9. Pyongyang, Corea del norte, está en el GMT+9.
Los investigadores de Kaspersky Lab y AlienVault.
Uno de los datos más importantes de la investigación llevada a cabo por un consorcio de empresas de seguridad, que han dedicado varios años a investigar las actividades de Lazarus, es que en contra de la imagen que el grupo pretendía difundir (se autodenominaban Guardians of Peace) y que lo asociaba a un perfil hacktivista (hackers que atacan a entidades cuya ética se ha puesto en entredicho), es que las sospechas del FBI sobre la presencia de Corea del Norte tras el mismo se sostienen con los datos obtenidos por los investigadores. Según Kaspersky Lab, una de los integrantes del grupo de investigación, más del 60% del malware relacionado con Lazarus que han analizado contiene textos en coreano. Esto y que sus principales objetivos fueran Corea del Sur y Estados Unidos pone sobre la pista de las motivaciones políticas existentes tras muchos de los ataques.
Aunque la notoriedad de sus actividades toco techo en 2014 con el ataque a Sony, se ha desvelado que el grupo lleva realizando actividades desde 2009, tiempo en el que han desarrollado malwares con distintas funciones: ciberespionaje, ataques de denegación de servicio (DoS), robo y destrucción de archivos, etcétera, ataques que han dirigido tanto a empresas de todo tipo como a instituciones gubernamentales, sistemas de infraestructuras críticos, etc. Para tal fin se han valido de 45 familias de patógenos con hasta 1.000 variantes de todas ellas. Para poder desarrollar esta actividad a lo largo de los años, Lazarus contaba con una infraestructura profesional, dotada del personal y los recursos necesarios, al estilo de las organizaciones criminales especializadas en Internet, desgraciadamente tan comunes de un tiempo a esta parte.
La operación llevada a cabo para acabar con el grupo, denominada Blockbuster (no confundir con la empresa) en donde es posible tanto ampliar información sobre la misma como conocer la lista completa de participantes en el consorcio: AlienVault, Invincea, Kaspersky Lab, Novetta, PunchCyber, Symantec, ThreatConnect, Volexity, Trend Micro, Risk IQ, Carbon Black, JPCERT/CC y NetRisk.
Así, a la celebración por el buen resultado de los trabajos de este grupo, hay que sumar las felicitaciones a tan importantes actores en el panorama de la seguridad que, de nuevo, demuestran que cuando es necesario, y aunque en muchos casos sean competencia directa, pueden (y deben) aunar esfuerzos, pues sólo así es posible atacar a muchas de las amenazas de seguridad tanto del presente, como de lo que está por venir.
Fuente: MuyComputerPro
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!