De Sony-hackers lanceren nog steeds aanvallen over de hele wereld

Toen een groep hackers de 'Guardians of Peace' noemde, gehackt Sony Entertainment in november 2014, speculeerde de hele wereld dat het Noord-Koreaanse leger achter de rug was. De Amerikaanse overheid beschuldigde Noord-Korea zelfs ervan verantwoordelijkheid te dragen.

Nu, een rapport van cyberbeveiligingsbedrijf Novetta werpt enig licht op de werking van het team achter de Sony-aanval, inclusief waarom ze plotseling lijken te zijn verdwenen.

Het rapport legt uit dat de groep mogelijk werkt onder verschillende aliassen, waaronder "NewRomanic Cyber ​​Army Team" en "Who IsTeam." Maar op basis van overeenkomsten tussen aanvallen die alleen het resultaat kunnen zijn van het delen van informatie, is het vrij duidelijk dat de Hetzelfde team dat Sony heeft gehackt, breekt nog steeds uit op servers in de Verenigde Staten en Azië.

"Er zijn zeer harde aanwijzingen dat veel van de ontwikkeling allemaal afkomstig is van dezelfde auteurs en codebases," vertelde Andre Ludwig, senior technisch directeur bij Novetta, Washington Post. "Dit zijn geen stukjes malware die worden gedeeld op ondergrondse fora - dit zijn zeer goed bewaakte codebases die niet zijn gelekt of die publiekelijk zijn rondgegooid."

Omdat de hackers voor elk project een nieuwe identiteit aannemen, hadden de trackers bij Novetta het gevoel dat de groep voortdurend uit de dood opsteeg. Ze hebben een nieuwe naam voor het team bedacht: de Lazarus-groep.

We hebben de # LazarusAPT verbonden met #Sony hack w / @Novettasol @alienvault onthuld Volledig verhaal http://t.co/ucH4Wdo0W4 pic.twitter.com/1qw5NCCReZ

- Kaspersky Lab (@kaspersky) 24 februari 2016

Novetta heeft samen met AlienVault en Kaspersky Lab de Lazarus Group gekoppeld aan een reeks andere aanvallen, waaronder een aanval van 2013 op Zuid-Koreaanse televisiestudio's en een 'spearphishing'-manoeuvre waarbij nep-Zuid-Koreaanse media werden gebruikt. De focus op Zuid-Korea ondersteunt zeker de bewering van de Amerikaanse regering dat de groep is gebaseerd op het leger van Noord-Korea. Het Novetta-rapport is vreemd genoeg terughoudend over het opstellen van een dergelijke conclusie, maar gaat slechts zo ver dat hij het erover eens is dat het waarschijnlijk door een regering wordt gesteund.

"Wij geloven dat de bewering van de Amerikaanse regering dat de Sony-aanval het werk was van een natiestaat, veel waarschijnlijker is dan dat dit het werk is van een hacktivistische groep of een wraakzuchtige voormalige werknemer", zei Novetta CEO Peter LaMontagne de Post.

Het kan voor beveiligingsbedrijven moeilijker zijn om harde conclusies te trekken over overheidsactoren, vooral omdat overheden vaak een schat aan aanvullende, vaak geclassificeerde, informatie hebben die ondersteunend bewijs levert.

Dit zijn de cyberwapens die werden gebruikt om Sonyhttp: //t.co/IjcR13aF6v pic.twitter.com/X0UNw3L0Rd te hacken

- Moederbord (@motherboard) 24 februari 2016

Zeker, de groep lijkt een typische Koreaanse werkdag te werken en een bug in een uniek Koreaans tekstverwerkingssysteem uitgebuit, maar dat is niet genoeg om definitief te zeggen dat de soldaten van Kim Jong-un aan de andere kant aan het typen zijn. Het nieuwe rapport verbindt Lazarus met aanvallen op China, misschien de enige bondgenoot van Noord-Korea, wat zeker een vreemde provocatie zou betekenen voor de belegerde communistische staat.

Niettemin gelooft Novetta nog steeds dat er iets moet gebeuren om informatiesystemen voor te bereiden om aanvallen van de Lazarus Group te bestrijden. Het bedrijf lanceert "Operation Blockbuster" in samenwerking met andere cybersecurity-groepen om het bewustzijn van de typische tactieken van de groep te vergroten.