{"id":7580,"date":"2016-02-24T12:59:34","date_gmt":"2016-02-24T12:59:34","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7580"},"modified":"2019-11-22T11:24:51","modified_gmt":"2019-11-22T09:24:51","slug":"operation-blockbuster","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/operation-blockbuster\/7580\/","title":{"rendered":"Tutto su Lazarus: attacco a Sony, spionaggio militare, attacchi a banche coreane e altri crimini"},"content":{"rendered":"<p>La mattina del 24 novembre 2014 \u00e8 indelebile nella memoria collettiva degli impiegati della Sony Pictures Entertainment. Quel giorno, una cybergang sconosciuta viol\u00f2 il server della compagnia, fece trapelare una marea di dati riservati e diede molto da fare alla Sony per recuperare la sua reputazione. L\u2019FBI <a href=\"http:\/\/techcrunch.com\/2014\/12\/19\/the-fbi-blames-north-korea-for-sony-hack\/\" target=\"_blank\" rel=\"noopener nofollow\">sospett\u00f2<\/a> di hacker nordcoreani. Da allora, non si \u00e8 saputo molto sui colpevoli, almeno fino a oggi.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n<p>Kaspersky Lab ha collaborato con Novetta e AlienVault a un\u2019indagine congiunta (chiamata Operazione Blockbuster) sull\u2019attivit\u00e0 del gruppo Lazarus. Questa banda \u00e8 ritenuta responsabile dell\u2019attacco alla Sony Pictures e di un numero di altri <a href=\"https:\/\/securelist.com\/blog\/incidents\/65106\/south-korean-whois-team-attacks\/\" target=\"_blank\" rel=\"noopener\">attacchi ai danni di banche ed emittenti di Seoul<\/a>, avvenuti nel 2013.<\/p>\n<p>Dopo la nota violazione alla Sony Pictures, i nostri specialisti hanno analizzato campioni del malware Destover, identificato pubblicamente in quanto implicato nell\u2019attacco. Gli studi hanno rivelato tracce di decine di campagne informatiche che usavano diversi campioni di malware con una serie di caratteristiche comuni.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">New Version of <a href=\"https:\/\/twitter.com\/hashtag\/Destover?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Destover<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Malware<\/a> Signed by Stolen <a href=\"https:\/\/twitter.com\/Sony?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Sony<\/a> Certificate \u2013 <a href=\"http:\/\/t.co\/mDq0ZRgUgp\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/mDq0ZRgUgp<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/542409928632049665?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 9, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Grazie a quest\u2019indagine, Kaspersky Lab \u00e8 stato in grado di scoprire in maniera proattiva il nuovo malware prodotto dal medesimo autore.<\/p>\n<h3>Cos\u2019altro ha fatto Lazarus e come lo abbiamo identificato?<\/h3>\n<p>Gli hacker stavano riutilizzando attivamente le loro elaborazioni: trasferivano frammenti di un codice da un programma indesiderato e lo inserivano in un altro. Inoltre i dropper (gli speciali file usati per installare diverse variazioni di un payload dannoso), erano tutti conservati all\u2019interno di un archivio ZIP protetto. La password era unica e uguale in molte campagne differenti. Difatti, era inserita nel dropper.<\/p>\n<p>Anche i metodi utilizzati dai criminali per cancellare le tracce della loro presenza da un sistema infetto erano simili, il che ha aiutato a identificare il gruppo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Evidence suggests <a href=\"https:\/\/twitter.com\/Sony?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Sony<\/a> hackers are alive &amp; well and still <a href=\"https:\/\/twitter.com\/hashtag\/hacking?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hacking<\/a> <a href=\"https:\/\/t.co\/uEgsLcrOUP\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/uEgsLcrOUP<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/fzcpD7aUOL\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/fzcpD7aUOL<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/698175098260480000?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>L\u2019indagine ha rivelato che Lazarus era coinvolto in <a href=\"https:\/\/blogs.mcafee.com\/mcafee-labs\/dissecting-operation-troy-cyberespionage-in-south-korea\/\" target=\"_blank\" rel=\"noopener nofollow\">campagne di spionaggio militare<\/a> e che ha sabotato operazioni di istituzioni finanziarie, sedi di telecomunicazioni e aziende manifatturiere. Per quel che ne sappiamo, la maggioranza delle vittime risiede in Corea del Sud, India, Cina, Brasile, Russia e Turchia. Questi delinquenti hanno creato malware come Hangman (2014\u00ad-2015) e Wild Positron (conosciuto anche come Duuzer, 2015). Wild Positron \u00e8 stato oggetto di discussione al <a href=\"https:\/\/www.kaspersky.it\/blog\/?s=security+analyst+summit&amp;submit=Search\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233255\/lazarus_map_EN.png\" alt=\"\" width=\"2000\" height=\"1633\"><\/p>\n<p>Kaspersky Lab ha condiviso i risultati dell\u2019indagine con AlienVault Labs. Alla fine, i ricercatori delle due aziende hanno deciso di unire le forze e di condurre un\u2019indagine congiunta. \u00c8 risultato che molte altre compagnie ed esperti di sicurezza stavano svolgendo ricerche sulle attivit\u00e0 di Lazarus. Una di queste compagnie, Novetta, ha promosso un\u2019iniziativa al fine di pubblicare i risultati della nostra indagine come parte della \u201c<a href=\"http:\/\/operationblockbuster.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Operazione Blockbuster<\/a>\u201c, e siamo stati felici di sostenerla.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Is North Korea Really Behind the Sony Breach?: <a href=\"https:\/\/t.co\/nb46bzxZXk\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nb46bzxZXk<\/a> <a href=\"http:\/\/t.co\/6nZ4m8Yg0z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6nZ4m8Yg0z<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/546110282544971777?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 20, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3>Cosa sappiamo di questi criminali?<\/h3>\n<p>I primi campioni di malware prodotti risalgono al 2009. A partire dal 2010 il numero di nuovi campioni \u00e8 cresciuto a ritmo sostenuto, per questo si pu\u00f2 definire Lazarus stabile e durevole. Nel biennio 2014-2015, la produttivit\u00e0 del gruppo ha raggiunto il suo massimo volume e, ad oggi, nel 2016, i criminali sono ancora attivi.<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233254\/operation-blockbuster-samples-count.png\" alt=\"\" width=\"808\" height=\"540\"><\/p>\n<p>A giudicare dal programma d\u2019attivit\u00e0 dei membri della banda, vivono nella zona oraria <a href=\"http:\/\/wwp.greenwichmeantime.com\/time-zone\/gmt-plus-8\/\" target=\"_blank\" rel=\"noopener nofollow\">GMT+8<\/a> o <a href=\"http:\/\/wwp.greenwichmeantime.com\/time-zone\/gmt-plus-9\/\" target=\"_blank\" rel=\"noopener nofollow\">GMT+9<\/a>. I criminali iniziano a lavorare intorno a mezzanotte (ora di Greenwich) e fanno una pausa pranzo intorno alle 3. Inoltre, \u00e8 chiaro pure che siano degli stacanovisti: la loro giornata lavorativa dura 15, 16 ore. Lazarus \u00e8 probabilmente il gruppo APT pi\u00f9 solerte tra quelli che conosciamo (e ne abbiamo studiati un sacco nel corso degli ultimi anni).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233253\/lazarus-group-activity.png\" alt=\"\" width=\"786\" height=\"538\"><\/p>\n<p>Un\u2019altra osservazione interessante: a giudicare dal set di campione di riferimento del gruppo, compilato da Novetta, quasi due terzi dei file eseguibili dei cybercriminali, includono elementi caratteristici degli utenti di lingua coreana.<\/p>\n<p>L\u2019indagine \u00e8 ancora in corso. Potete saperne di pi\u00f9 su Lazarus e sulle nostre conclusioni su <a href=\"https:\/\/securelist.com\/blog\/incidents\/73914\/operation-blockbuster-revealed\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n<p>L\u2019Operazione Blockbuster ha aiutato tutte le parti coinvolte a scoprire molto su questa pericolosa cybergang. Per una serie di motivi, compresa la distribuzione geografica delle soluzioni di sicurezza, sviluppate da diverse compagnie, da soli non saremmo riusciti a ottenere gli stessi risultati. La nostra collaborazione dimostra come la condivisione di informazioni aiuti a identificare i veri criminali e a rendere Internet un luogo pi\u00f9 sicuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kaspersky Lab e colleghi rivelano dettagli dell\u2019indagine congiunta sulla pericolosa attivit\u00e0 del gruppo Lazarus.<\/p>\n","protected":false},"author":522,"featured_media":7581,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[592,119,632,1865,54,1866,191,1867,22,1868,95,1298],"class_list":{"0":"post-7580","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apt","10":"tag-attacco","11":"tag-cybercriminali","12":"tag-darkseoul","13":"tag-hacker","14":"tag-investigazione","15":"tag-kaspersky-lab","16":"tag-lazarusapt","17":"tag-malware-2","18":"tag-operazione-blockbuster","19":"tag-ricerca","20":"tag-sony"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-blockbuster\/7580\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-blockbuster\/6763\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-blockbuster\/6835\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-blockbuster\/6735\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-blockbuster\/7797\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-blockbuster\/10995\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-blockbuster\/11407\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-blockbuster\/6013\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-blockbuster\/10500\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-blockbuster\/10995\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-blockbuster\/11407\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-blockbuster\/11407\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7580"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7580\/revisions"}],"predecessor-version":[{"id":18929,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7580\/revisions\/18929"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7581"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}