De hackersgroep die verantwoordelijk was voor de hack op Sony Pictures in 2014, is gelieerd aan een overheid en zit ook achter andere hacks.

Dat concludeert een groep beveiligingsbedrijven en analysefirma's na een jaar lang onderzoek, samengevat in 'Operation Blockbuster'. De groep onder leiding van analysebedrijf Novetta bestaat uit onder meer Symantec, Kaspersky Lab en Trend Micro.

De groep verbindt de aanvallen op filmstudio Sony Pictures niet direct aan de overheid van Noord-Korea, zoals de VS eerder wel deed. Wel wijst alles er volgens de experts op dat de hackers door een overheid worden gesteund.

Noord-Korea

In 2014 kraakte de groep de systemen van Sony Pictures, waardoor interne data, e-mails, gegevens van medewerkers en salaris- en contractinformatie van bekende acteurs op straat kwamen te liggen. Aanleiding leek toen de comedyfilm The Interview, waarin de Noord-Koreaanse leider Kim-Jong Un op de hak wordt genomen.

Maar de hack op Sony Pictures lijkt niet het enige wapenfeit van de groep die zich bij die kraak de 'Guardians of Peace' noemde. In het onderzoek wordt de groep nu aangehaald als 'The Lazarus Group', die zich onder steeds weer andere namen schuldig maakte aan tal van hacks.

Op die manier lijken grootschalige hacks steeds het werk van een groep die daarna weer verdwijnt. Maar door de malware die bij verschillende incidenten gebruikt werd te vergelijken, vonden de beveiligingsbedrijven aanwijzingen die de groep hackers aan meer dan veertig malware-families koppelt.

Zo kwamen bepaalde stukken programmeercode terug in tal van stukken malware. Die malware richtte zich niet alleen op Zuid-Korea en de VS, de grootste vijanden van Noord-Korea, maar was ook gebruikt bij hacks in landen als China, India, Taiwan en Japan.

Hard bewijs

"Er is hard bewijs dat veel van de ontwikkeling afkomstig is van dezelfde auteurs en codebases", zegt Andre Ludwig van Novetta. "Dit zijn geen stukken malware die op obscure fora worden gedeeld, dit zijn goed beschermde codebases die niet uitgelekt zijn of publiek gedeeld worden."

Toch lijkt de groep zich vooral te richten op het hacken van doelwitten in Zuid-Korea en de VS, zowel overheden en defensie als banken, media en entertainmentbedrijven.

Beveiligingsbedrijf Kaspersky zegt dat het vorige week nog activiteiten heeft geobserveerd die naar de hackersgroep is te herleiden.