หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์ดัง โซนี พิกเจอร์ส เอนเตอร์เทนเม้นท์เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แล็บ (Global Research and Analysis Team หรือ GReAT) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ “เดสโทเวอร์ (Destover)” ที่ถูกใช้ในการจู่โจม ร่วมกับโนเว็ตต้า (Novetta) และหุ้นส่วนในวงการอื่นๆ ภายใต้ชื่อ “ปฏิบัติการบล็อกบัสเตอร์” ซึ่งนำไปสู่การวิจัยที่กว้างขวาง และเจาะลึกเข้าไปยังกลุ่มย่อยหรือคลัสเตอร์ทั้งหลายที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และปฏิบัติการ “วินาศกรรมไซเบอร์” ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย
ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี “แอ๊กเตอร์” หรือ “ตัวกระตุ้น” ตัวเดียวกัน
ผู้ที่เข้าร่วมปฏิบัติการ “บล็อกบัสเตอร์” ทุกรายต่างก็ยืนยันเช่นเดียวกัน และเชื่อว่าเป็นฝีมือของ “กลุ่มลาซารัส” ที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ๆ ทั่วโลกหลายบริษัทด้วยกัน และเชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิกเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 รวมถึงปฏิบัติการ “ดาร์กโซล” ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013
“ตัวกระตุ้นการเริ่มการจู่โจม” หรือ “แอ๊กเตอร์” ของลาซารัสกรุ๊ปทำงานมาหลายปี ก่อนเกิดเหตุ “โซนี” และยังทำงานต่อมาอีกหลังจากนั้น บล็อกบัสเตอร์ทีม สามารถยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลายๆ ปฏิบัติการ รวมทั้ง “ดาร์กโซล” ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ “ปฏิบัติการทรอย” ที่มุ่งโจมตีกิจการทหารของเกาหลีใต้ รวมทั้งโซนี พิกเจอร์ส
เหตุผลที่ แคสเปอร์สกี้ แล็บ หรือหุ้นส่วนในวงการอาทิ “เอเลี่ยนโวล์ท แล็บ” และ “โนเว็ตต้า” และทีมบล็อกบัสเตอร์อื่นๆ แน่ใจว่า ลาซารัสกรุ๊ปคือกลุ่มที่อยู่เบื้องหลัง นั้นก็เพราะจากการวิเคราะห์วิธีการที่ตัวแอ๊กเตอร์ใช้ทำงานจากตัวอย่างต่างๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว
ที่สำคัญก็คือยังพบด้วยว่าผู้บุกรุกได้นำโค้ดเก่า หรือหยิบยืมบางส่วนมาจากโค้ดในมัลแวร์อันหนึ่งมาใช้ใหม่ในโปรแกรมอื่นๆ ที่ใช้ในการโจมตีเหล่านั้น
นอกจากนั้นทีมวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า “ดร็อปเปอร์” หรือไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายซึ่งจะแตกต่างกันนั้น ทั้งหมดจะเก็บเป็นไฟล์ “ซิป” (ZIP) เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่างๆ นั้นจะเหมือนกัน และถูกบรรจุอยู่ใน “ดร็อปเปอร์” ที่ติดตั้งรหัสผ่าน ป้องกันมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ
แต่ในความเป็นจริง “ฮาร์ดโค้ด” ที่อยู่ภายในดร็อปเปอร์เหล่านี้กลับกลายเป็นสิ่งที่ช่วยให้นักวิจัยระบุกลุ่มผู้ลงมือได้
นอกจากนั้นยังมีวิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่นๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุดก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ๊กเตอร์เดียวนั่นเอง
จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์พบว่า การเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนีอันโด่งดัง มีตัวอย่างใหม่ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ๊กเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่ามัลแวร์ส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8-GMT+9
ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แล็บ ให้ความเห็นต่อปฏิบัติการของลาซารัสว่า เป็นการจู่โจมแบบลบล้างข้อมูลหรือ “ไวป์เปอร์แอทแทค” ที่นับวันจะขยายตัวต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง สามารถล้างข้อมูลในคอมพิวเตอร์ได้เป็นพันๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น
เขาให้คำจำกัดความไว้ว่า ปฏิบัติการของลาซารัสเป็น “สงครามลูกผสม” หรือ “ไฮบริดวอร์แฟร์” ระหว่างการจู่โจมแบบล้างข้อมูลกับการจู่โจมเพื่อชะงักหรือยุติการเคลื่อนไหว ที่เป็นการทำให้โครงสร้างพื้นฐานของประเทศหนึ่งๆ หยุดชะงัก และเป็นกรณีตัวอย่างที่ชวนคิดใคร่ครวญ เพราะเข้าใกล้ความเป็นจริงของ “สงครามไซเบอร์” มากกว่าการโจมตีของกลุ่มอื่นๆ
จนยากที่ทุกคนจะ “ทำตัวตามสบาย” กับสิ่งที่เกิดขึ้นได้
“ปฏิบัติการบล็อกบัสเตอร์” ที่เกิดขึ้นในครั้งนี้จึงจะไม่ยุติลงเพียงแค่นี้ เจมี บลาสโค หัวหน้าคณะนักวิทยาศาสตร์ของ เอเลียนโวล์ทบอกว่า หลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง “บล็อกบัสเตอร์” เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ๊กเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า
อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า ยืนยันเอาไว้เช่นกันว่า
ทีมบล็อกบัสเตอร์ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัดและลดความสามารถในการก่อการร้ายลงให้ได้ต่อไป
