2014 yılında ünlü film prodüksiyon şirketi Sony Pictures Entertainment'a (SPE) karşı düzenlenen yıkıcı saldırının ardından Kaspersky Lab'ın Global Araştırma ve Analiz Ekibi (GReAT), insanların saldırıda kullanıldığı şekliyle Destover adını verdikleri zararlı yazılımın örnekleri üzerinde araştırma yapmaya başladı. Bu araştırma, finans kuruluşları, medya istasyonları ve üretim şirketleri ve diğer kuruluşları hedefleyen siber casusluk ve siber sabotaj kampanyalarını içeren bir kümede daha geniş çaplı bir araştırmaya öncülük etti.
Farklı zararlı yazılım ailelerinin ortak özelliklerini temel alan şirket uzmanları onlarca yalıtılmış saldırıyı gruplandırmayı başardı ve Blockbuster Operasyonu'nun diğer katılımcılarının da kendi analizlerinde onayladığı üzere bunların tek bir tehdit aktörüne ait olduğunu belirledi. Lazarus Grubu tehdit aktörü SPE vakasından birkaç yıl önceden beri etkin bir aktördü ve halen etkinliğini sürdürdüğü görülmüş oldu. Kaspersky Lab ve diğer Blockbuster Operasyonu araştırmaları, Seul merkezli bankalar ve yayıncılara karşı düzenlenen DarkSeoul Operasyonu, Güney Kore askeri kuvvetlerine karşı düzenlenen Troy Operasyonu ve Sony Pictures vakası gibi çeşitli kampanyalarda kullanılan zararlı yazılımlar arasındaki bağlantıyı doğruladı. Araştırma sırasında Kaspersky Lab araştırmacıları ilk bulgularını AlienVault Labs ile paylaştılar. Sonunda her iki şirketten araştırmacılar, güçlerini birleştirmeye ve ortak bir araştırma gerçekleştirmeye karar verdiler. Bu sırada Lazarus Grubu'nun faaliyetleri çok sayıda diğer şirket ve güvenlik uzmanı tarafından da araştırılmaktaydı. Bu şirketlerden biri olan Novetta, Lazarus Grubu'nun faaliyetleri üzerinde en kapsamlı ve eyleme geçirilebilir bilgileri yayınlamayı hedefleyen bir girişim başlattı. Blockbuster Operasyonunun bir parçası olarak Novetta, AlienVault Labs ve diğer sektör ortakları ile birlikte Kaspersky Lab, daha geniş bir kitlenin faydalanması için bulgularını yayınlıyor.
Adeta iğne dolu bir samanlık
Farklı siber güvenlik vakalarında bulunan çok sayıda zararlı yazılım örneğini analiz eden ve özel algılama kuralları oluşturan Kaspersky Lab, AlienVault ve diğer Blockbuster Operasyonu uzmanları, Lazarus Grubu tarafından gerçekleştirilen çok sayıda saldırıyı belirlemeyi başardılar. Çok sayıda örnekle tek bir grup arasındaki bağlantı, bu aktör tarafından kullanılan yöntemlerin analizi sırasında bulundu. Ayrıntılarıyla ifade edecek olursak, saldırganların bir zararlı programın kodundan ödünç aldıkları parçaları bir diğerinde aktif bir şekilde yeniden kullandığı keşfedildi.
Bunun yanı sıra araştırmacılar saldırganların icra tarzlarında benzerlikler gördü. Farklı saldırıların yapaylıklarını analiz ederken, zararlı bir yükün farklı varyasyonlarını yüklemek için kullanılan özel dosyalar olan teslim paketlerini keşfettiler; hepsi yüklerini şifre korumalı bir ZIP arşivinde tutuyordu. Farklı kampanyalarda kullanılan arşiv şifreleri aynıydı ve teslim paketinin içinde gömülü kodlanmıştı. Şifre koruması otomatik sistemlerin yükü çıkarmasını ve analiz etmesini engellemek için uygulanmış ancak gerçekte sadece araştırmacıların grubu belirlemesine yardımcı oldu. Ayrıca suçlular tarafından virüs bulaştırılan bir sistemde varlıklarının izlerini silmek için kullanılan özel bir yöntem ve antivirüs ürünleri tarafından algılanmaktan kaçınmak için kullanılan bazı teknikler araştırmacılara ilgili saldırıları kümelemek için yardımcı ipuçları verdi. Sonuç olarak, operatörleri bilinmiyor olarak kabul edilen onlarca farklı hedefli saldırı tek bir tehdit aktörüne indirgendi.
Operasyonun Coğrafyası
Örneklerin derlenme tarihlerinin analizi ilk örneğin 2009 yılı kadar uzun bir zaman önce, yani kötü şöhretli Sony saldırısından beş yıl önce derlendiğini ortaya koydu. Yeni örneklerin sayısı 2010 yılından itibaren büyük ölçüde arttı. Bu durum Lazarus Grubu'nun istikrarlı ve uzun süreli bir tehdit aktörü olduğunu gösteriyor. İncelenen örneklerden çıkarılan meta veriler temel alındığında, Lazarus Grubu tarafından kullanılan zararlı programların büyük bir çoğunluğunun GMT+8 – GMT+9 saat dilimlerinde çalışma saatleri içinde derlendiği görüldü.
Kaspersky Lab kıdemli güvenlik araştırmacısı Juan Guerrero şunları söylüyor: "Tahmin ettiğimiz gibi silici saldırılarının sayısı sabit bir şekilde artıyor. Bu tür bir zararlı yazılımın son derece etkili bir siber silah olduğu görülmüştür. Binlerce bilgisayarı tek bir düğmeye basarak silme gücü, hedefteki kurumun bilgilerini temizleme ve zarar verme görevini üstlenmiş bir Bilgisayar Ağı İstismar ekibi için büyük bir ikramiye gibi görülmektedir. Bir ülkenin altyapısını felce uğratmak için kinetik saldırılarla birleştirilen silici saldırılarının bir karma silahın parçası olarak değeri, gerçekliğe düşünmek istediğimizden daha yakın ve ilginç bir düşünce olarak zihnimizin bir köşesinde duruyor. Sektör ortaklarımızla birlikte bu yıkıcı tekniklerden fayda sağlamaya çalışan vicdansız bir aktörün operasyonlarında bir gedik açtığımız için gurur duyuyoruz".
AlienVault baş bilim adamı Jaime Blasco "Bu aktör, veri çalma veya hasara yol açma gibi amaçlarla siber casusluk operasyonları gerçekleştirmek için gerekli beceri ve azme sahiptir. Bunu bilgi silme ve aldatma tekniklerinin kullanımıyla birleştiren saldırganlar, geçtiğimiz birkaç yıl içinde çok sayıda operasyon gerçekleştirmeyi başarmıştır. Blockbuster Operasyonu, sektör çapında bilgi paylaşımı ve işbirliğinin çıtayı nasıl daha yükseğe çıkarabileceği ve bu aktörün operasyonlarına devam etmesini nasıl engelleyebileceğinin bir örneği olmuştur" şeklinde konuştu.
Novetta Tehdit Araştırma ve Engelleme Grubu kıdemli teknik direktörü Andre Ludwig ise şöyle konuştu: "Blockbuster Operasyonu ile Novetta, Kaspersky Lab ve ortaklarımız, dünya çapında büyük saldırılar düzenleyen grupların operasyonlarını ve daha fazla zarar vermeye yönelik çalışmalarını engellemek amacıyla bir metodoloji oluşturmak için güçlerini birleştirdiler. Blockbuster Operasyonunda gerçekleştirilen derinlemesine teknik analizlerin seviyesi olağanüstü olmakla birlikte bulgularımızı sektör ortaklarımızla, yükselen bilinçten hepimiz faydalanabilecek şekilde paylaşmamız ise daha da olağanüstüdür".