Operación Blockbuster respalda las afirmaciones de que Corea del Norte sea responsable
Los autores del ciberataque del 2014 a Sony Pictures Entertainment no eran activistas o empleados descontentos, y es probable que hayan atacado a otros objetivos en China, India, Japón y Taiwán, de acuerdo con una coalición de empresas de seguridad que han investigado en forma conjunta el caso de Sony desde hace más de un año .
Los expertos en ciberseguridad que montaron la investigación, denominada Operación Blockbuster, encontraron que los culpables, conocido como el Grupo Lázaro (un nombre no oficial al que se refieren en clave), han estado activos desde al menos 2009.
Los analistas de Novetta y 12 actores de la industria, incluyendo Symantec, Kaspersky Lab, Trent Micro, AlienVault y Carbon Black estaban detrás de la operación, que fue «creado con la intención de entender e interrumpir infraestructura y herramientas potencialmente maliciosas» utilizados por el Grupo Lázaro.
«El ataque contra Sony Pictures Entertainment (SPE) no tiene precedentes en su cobertura de los medios y el uso abierto de la capacidad de destrucción maliciosa contra una entidad comercial«, indica el informe.
Mediante el análisis de los programas informáticos utilizados, los expertos confirmaron que contiene código y comentarios «normalmente utilizados por las personas que hablan coreano« de acuerdo con Kaspersky. La zona horaria de la actividad de los hackers también corresponde con la de Corea: GMT +8 o 9«, según la compañía.
«Las herramientas del grupo Lázaro son lo suficientemente avanzadas para los objetivos previstos y el nivel de impacto. Sin embargo, el grupo Lázaro no se limita únicamente a la implementación de malware destructivo. De hecho, el conjunto de herramientas identificadas durante esta operación sugiere que el grupo Lázaro abarca un amplia espectro de capacidades, incluyendo la denegación de servicio (DDoS), keyloggers, y RATs, e incluso una familia de redes P2P que permite a los operadores establecer una base común y programar una administración remota a través de todas las máquinas infectadas».
Novetta dijo que no sería definitivamente atribuido como «Grupo Lázaro» y dio la advertencia de que «las afirmaciones oficiales en atribución del FBI podrían recibir apoyo de nuestros hallazgos«.
El ataque contra SPE causó titulares en todo el mundo, los investigadores descubrieron que el Grupo Lázaro había estado activo desde al menos 2009 y, posiblemente, desde el año 2007.
Según el informe, el grupo «parece estar compuesto por desarrolladores y operadores«, que ha desarrollado y perfeccionado el malware utilizado en el ataque Dark Seoul en 2013 atacando a Corea del Sur.
► Documento de la Operación Blockbuster (PDF)
