En novembre 2014, une cyberattaque avait fait les gros titres de la presse. Se présentant sous l'identité de Guardian of Peace, un mystérieux groupe avait revendiqué le piratage massif de Sony Pictures suite à une intrusion dans le réseau informatique du studio de cinéma et de télévision aux États-Unis.

Operation-Blockbuster Une catastrophe pour Sony Pictures avec une multitude de documents qui avaient été exfiltrés, tandis que les hackers de Guardian of Peace avaient légitimé leur acte pour empêcher la sortie du film The Interview moquant le régime de Corée du Nord et son dirigeant Kim Jong-un.

Les autorités américaines avaient directement mis en cause la Corée du Nord pour ce qui avaient été présenté comme l'une des plus importantes cyberattaques jamais subie par une entreprise aux États-Unis. Plus d'un an après, un rapport est publié et établit un lien entre le piratage de Sony et un groupe qui a été baptisé Lazarus.

Dans le cadre d'une opération Blockbuster coordonnée par Novetta et réunissant une rare coalition de plusieurs acteurs de la sécurité informatique (AlienVault, Carbon Black, Invincea, Kaspersky Lab, Symantec, Trend Micro…), une somme impressionnante d'informations concernant les agissements et méthodes du groupe Larazus est divulguée.

Ce partage d'informations a pour objectif de parvenir à sinon démanteler ou du moins ébranler ce groupe qui est toujours actif, et pas nécessairement savoir qui se cache derrière Larazus même s'il apparaît clairement que ce ne sont pas des hacktivistes - et encore moins un employé de Sony Pictures revanchard - et que le soutien d'un État est hautement probable.

L'étude d'échantillons du malware Destover utilisé dans l'attaque contre Sony Pictures (et signé avec un certificat électronique dérobé à Sony) a permis d'établir une corrélation avec plusieurs autres cyberattaques ayant visé des établissements financiers et médias en 2013. Elle a également débouché sur des liens avec diverses campagnes de cyberespionnage ou de sabotage depuis au moins 2009, voire même en 2007 selon les dates de compilation d'échantillons de malwares.

Le groupe Lazarus serait à l'origine de plus de 45 familles différentes de malwares. Kaspersky Lab écrit que les auteurs des attaques " réutilisent du code en reprenant les fragments d'un malware pour l'utiliser dans un autre ", et a mis au jour des similitudes dans le mode opératoire des attaques. Notamment, d'une campagne d'attaque à une autre, le groupe partage des mots de passe pour ses injecteurs (droppers) visant à installer un malware sur un système.

Ces droppers sont dans une archive ZIP au nom de MYRES et avec un mot de passe codé en dur. En l'occurrence : !1234567890 dghtdhtrhgfjnui$%^^&fdr… pas trop mal pour la robustesse du mot de passe.

" La protection par mot de passe avait pour but d'empêcher des systèmes automatiques d'extraire et d'analyser la charge (ndlr : malveillante) mais elle n'a en réalité fait qu'aider les chercheurs à identifier le groupe ", explique Kaspersky Lab qui ajoute une information intéressante.

La plupart des programmes malveillants utilisés par le groupe Lazarus ont été compilés pendant les heures de bureau des fuseaux horaires GMT+8 et GMT+9. Cela couvre une partie de l'Asie de l'Est et la Corée du Nord.