# Operation Blockbuster - Lazarus Sony Attack > [!info] Visão Geral > **Operation Blockbuster** foi o nome dado pela coalizada Novetta a investigação que atribuiu ao grupo [[g0032-lazarus-group]] uma serie de ataques devastadores contra empresas de midia e financeiras entre 2009 e 2016. O marco central foi o **ataque a Sony Pictures Entertainment** em novembro de 2014, onde o grupo destruiu dados de mais de **3.000 computadores** e **800 servidores** usando o wiper [[destover]], alem de vazar informações confidenciais da empresa. A análise forense de código compartilhado entre diferentes amostras de malware - incluindo Destover, DarkSeoul e o posterior [[wannacry]] - permitiu a Novetta, Symantec e outros pesquisadores estabelecer conexoes definitivas entre campanhas aparentemente distintas do Lazarus Group. O relatorio final foi públicado em fevereiro de 2016. ## Visão Geral A Operation Blockbuster representa o esforço mais abrangente de atribuição técnica ao [[g0032-lazarus-group]] até 2016, reunindo Novetta, Symantec, AlienVault, Kaspersky e outros pesquisadores para conectar amostras de malware aparentemente não relacionadas a um único ator: a Coreia do Norte. O marco central da investigação foi o ataque devastador à Sony Pictures Entertainment em novembro de 2014, onde o grupo destruiu dados de mais de 3.000 computadores e 800 servidores usando o wiper [[destover]], além de vazar filmes inéditos, emails executivos e dados pessoais de funcionários em represália ao lançamento do filme "The Interview", uma comédia satirizando Kim Jong-un. O que tornou a operação blockbuster métodológicamente revolucionária foi a análise forense comparativa: pesquisadores identificaram strings de código, rotinas de encriptação e padrões de debugging compartilhados entre o Destover, o DarkSeoul (2013), o wiper RawDisk (2014) e, crucialmente, o [[wannacry]] (2017). Essa análise de "código familiar" permitiu estabelecer uma árvore genealógica de ferramentas do Lazarus Group, demonstrando que ataques aparentemente isolados faziam parte de uma operação persistente com décadas de desenvolvimento. O relatório final da Novetta em fevereiro de 2016 tornou-se referência obrigatória em atribuição técnica. O caso Sony demonstrou que atores estatais estavam dispostos a usar capacidades destrutivas (wipers) não apenas para espionagem, mas para coerção e retaliação por motivações políticas — ampliando significativamente o espectro de ameaças que organizações precisam considerar. Para o [[government|setor público]] e empresas de mídia no Brasil, o caso estabeleceu a necessidade de planos de resiliência que considerem não apenas ransomware financeiro, mas destruição de dados motivada por questões geopolíticas ou de reputação corporativa. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Spear-phishing e<br/>credenciais comprometidas"] --> B["Reconhecimento<br/>Mapeamento da rede Sony<br/>por meses antes do ataque"] B --> C["Movimento Lateral<br/>Propagação via<br/>credenciais de admin"] C --> D["Preparação<br/>Deploy do wiper Destover<br/>em 3000+ sistemas"] D --> E["Destruicao<br/>MBR sobrescrito<br/>dados irrecuperaveis"] E --> F["Vazamento<br/>Filmes, dados de funcionarios<br/>emails executivos publicados"] F --> G["Extorsao<br/>Ameaça de ataques<br/>se The Interview fosse lancado"] ``` > **Atores:** [[g0032-lazarus-group]] | **Malware:** [[destover]] | **Objetivo:** destruicao de dados e coercao ## Cronologia ```mermaid timeline title Operation Blockbuster - Linha do Tempo 2014-11-24 : Sony Pictures - inicio do ataque wiper Destover 2014-11-24 : Imagem de caveira na tela - GOP ameaça vazar dados 2014-11-26 : Filmes ineditos vazados no Piraté Bay 2014-12 : EUA atribuem ataque a Coreia do Norte 2014-12-17 : Sony cancela lancamento de The Interview por ameaças 2014-12-25 : Obama critica Sony e EUA sancionam NK 2015-01 : The Interview lancado online - receita de USD 31M 2016-02 : Novetta publica relatorio Operation Blockbuster completo ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Disk Content Wipe | [[t1561-001-disk-content-wipe\|T1561.001]] | Destover sobrescreve MBR e dados em 3000+ sistemas Sony | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de dados antes da destruicao definitiva | | Credentials in Files | [[t1552-001-credentials-in-files\|T1552.001]] | Extração de credenciais armazenadas em arquivos | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos de destruicao via cmd.exe | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de componentes do wiper de servidores C2 | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de emails, documentos e filmes ineditos | ## Vitimas e Impacto **Sony Pictures Entertainment:** - 3.000+ computadores e 800+ servidores destruidos com o wiper Destover - Dados de 47.000 ex-funcionarios vazados (números de seguro social, salarios) - Comúnicacoes internas de executivos públicadas - constrangimentos diplomaticos - Filmes ineditos (Annie, Fury, Mr. Turner) disponibilizados no Piraté Bay - Códigos-fonte de producao e sistemas de TI destruidos - Prejuizo estimado: USD 100 milhões ou mais em recuperacao e danos **Impacto na industria:** - Sony Pictures levou meses para restaurar sistemas básicos - Alteracoes em processos de producao cinematografica e controles de acesso - The Interview - alteracoes no lancamento por pressao diplomatica e ameaças **Impacto na inteligência cibernetica:** - A análise de código compartilhado entre Destover, DarkSeoul e WannaCry estabeleceu a métodologia moderna de **cluster attribution** baseada em artefatos de código - A Novetta públicou um dos mais completos relatorios de atribuicao já produzidos pela industria privada ## Relevância LATAM e Brasil A Operation Blockbuster nao teve impacto direto no Brasil ou LATAM, mas e relevante em varios aspectos: - **[[g0032-lazarus-group]] e LATAM**: O Lazarus Group expandiu operações financeiras para a América Latina a partir de 2016, especialmente via ataques ao sistema SWIFT de bancos. Pelo menos um banco da [[brazil|regiao LATAM]] foi alvo de transferencias SWIFT fraudulentas atribuidas ao mesmo grupo - **Coercao digital como arma**: O modelo de destruicao de dados + vazamento de informações sensiveis + extorsao foi adotado por grupos de ransomware que operam no Brasil, especialmente em ataques a [[technology|empresas de midia]] e [[government|entidades governamentais]] - **Métodologia de atribuicao**: A técnica de cluster attribution desenvolvida no relatorio Blockbuster influenciou como o [[government|CERT.br]] e pesquisadores de segurança brasileiros analisam e atribuem ataques de APTs com operações na regiao ## Mitigação **Controles específicos contra wipers:** - Backups offline e imutaveis - wipers destroem backups conectados a rede - Segmentacao agressiva - limitar blast radius de acesso admin comprometido - Monitoramento de acesso em massa a arquivos - indicativo de preparação de wiper **Controles gerais:** - Aplicar [[m1046-boot-integrity|M1046]] - proteção do MBR via Secure Boot e UEFI - Implementar [[m1053-software-and-data-integrity|M1053]] - backups offline imutaveis para dados criticos - Usar [[m1030-network-segmentation|M1030]] - segmentacao para limitar propagação lateral de wiper - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso massivo e incomum a arquivos criticos ## Referências - [1](https://www.novetta.com/2016/02/operation-blockbuster-revealed/) Novetta - Operation Blockbuster Revealed (2016) - [2](https://www.symantec.com/connect/blogs/lazarus-under-magnifying-glass) Symantec - Lazarus Under the Magnifying Glass (2016) - [3](https://www.mandiant.com/resources/blog/whois-hacking-team) Mandiant - Sony Pictures Attack Analysis (2014) - [4](https://www.wired.com/2014/12/sony-hack-what-we-know/) WIRED - Sony Hack: What We Know (2014) - [5](https://securelist.com/lazarus-under-the-magnifying-glass/77908/) Kaspersky Securelist - Lazarus Under the Magnifying Glass (2017) - [6](https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and) DOJ EUA - North Korean Programmer Charged (2018) - [7](https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba/) Trend Micro - Lazarus Campaign Analysis (2018)