Kaspersky Lab công bố xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.
Những kẻ tấn công được cho là những kẻ đứng sau cuộc tấn công vào hãng Sony Pictures Entertainment năm 2014 và hoạt động DarkSeoul nhắm vào truyền thông và tổ chức tài chính năm 2013.
Sau khi cuộc tấn công tàn khốc vào công ty sản xuất phim nổi tiếng Sony Pictures Entertainment (SPE) diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) bắt tay vào điều tra với mẫu phần mềm độc hại Destover được sử dụng công khai trong cuộc tấn công, dẫn đến cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.
Dựa vào những đặc điểm thường thấy ở nhiều gia đình trojan khác nhau, các chuyên gia tại công ty đã nhóm hàng chục cuộc tấn công riêng lẻ lại và quả quyết rằng chúng đều thuộc về một mối đe dọa, điều này cũng được các thành viên Operation Blockbuster xác nhận trong phân tích của họ.
Lazarus đã hoạt động được nhiều năm trước vụ việc SPE xảy ra và có vẻ nó vẫn còn hoạt động đến bây giờ. Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận mối liên hệ giữa phần mềm độc hại được dùng trong nhiều chiến dịch, ví dụ chiến dịch DarkSeoul nhắm vào ngân hàng và đài phát thanh Seoul, chiến dịch Troy nhắm vào lực lượng vũ trang Hàn Quốc và vụ việc hãng Sony Pictures.
Trong quá trình điều tra, các nhà nghiên cứu tại Kaspersky Lab đã trao đổi những phát hiện sơ bộ với AlienVault Labs. Cuối cùng, các nhà nghiên cứu tại 2 công ty quyết định hợp sức điều tra. Đồng thời, nhiều công ty và chuyên gia bảo mật cũng điều tra hoạt động của Lazarus. Trong số những công ty này, Novetta đã đề xuất sáng kiến công bố rộng rãi thông tin về nhóm Lazarus. Là một thành viên của Operation Blockbuster, cũng với Novetta, AlienVault Labs và nhiều cộng sự trong nganh khác, Kaspersky Lab cũng công bố những phát hiện của mình vì lợi ích cộng đồng.
Bên cạnh đó, các nhà nghiên cứu đã tìm thấy sự giống nhau trong cách hoạt động của tin tặc. Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra dropper – tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại – tất cả đều được khóa bằng mật khẩu được bảo vệ bằng bản sao file ZIP. Mật khẩu là giống nhau cho nhiều chiến dịch khác nhau và được mã hóa bên trong tập tin dropper đó. Mật khẩu bảo vệ được thiết lập nhằm ngăn chặn hệ thống tự động giải nén và phân tích tập tin nhưng thực tế việc này chỉ giúp các nhà nghiên cứu xác định danh tính băng nhóm.
Phương pháp đặc biệt được tội phạm sử dụng nhằm xóa dấu vết hoạt động trên hệ thống bị lây nhiễm cùng với thủ pháp lẩn trốn khỏi sản phẩm diệt virus cũng giúp các nhà nghiên cứu phát hiện nhiều cách tấn công liên quan nhau. Cuối cùng, hàng chục cuộc tấn công có chủ đích khác nhau với những kẻ tổ chức đã từng được cho là không xác định được danh tính chỉ thuộc về một mối đe dọa.
