Hackerii ruși au vizat Jocurile Olimpice de la Pyeongchang după luni de zile de represalii pentru interzicerea țării la JO din cauza dopajului. Hackerii au furat și distribuit documente din organizațiile legate de Jocurile Olimpice. Dar, acum a fost lansat un atac mai insidios, unul conceput să perturbe ceremoniile de deschidere. Și în timp ce nici organizatorii olimpiadei, nici firmele de securitate nu sunt gata să arate către Kremlin, hackerii par să fi lăsat în urmă niște cărți de vizită care merg către Rusia.
În cursul săptămânii, organizatorii Jocurilor Olimpice de la Pyeongchang au confirmat că investighează un atac cibernetic care a paralizat temporar sistemele informatice înainte de ceremoniile de deschidere de vineri, închizând monitoarele afișate, oprind Wi-Fi și site-ul olimpic, astfel încât vizitatorii să nu poată tipări bilete. Cu legătură directă sau nu, Intel si-a anulat filmările live cu drone din timpul ceremoniilor de deschidere, comisia de organizare de la Pyeongchang indicând ca motiv oficial că erau prea multi spectatori zona unde ar fi trebuit sa aiba loc acțiunile cu live drone.
Acum, cercetătorii de securitate de la divizia Talos a companiei Cisco au lansat o analiză a unor componente de malware sofisticate și rapid răspândite pe care le numesc „Distrugător Olimpic”, despre care cred că este probabil cauza acestei întreruperi. Cercetătorii Talos au consideră că „Olympic Destroyer” este proiectat să treacă în mod automat de la mașină la mașină într-o rețea țintă și să distrugă anumite date de pe mașină, incluzând o parte a înregistrărilor de boot, mașini de repornire și apoi împiedicând încărcarea. Sunt oprite toate serviciile, informațiile despre boot nu sunt afectate și mașina este dezactivată, conform directorului de cercetare Talos, Craig Williams. Talos subliniază că tacticile disruptive și metodele de răspândire a lui „Olympic Destroyer” seamănă cu NotPetya și BadRabbit, două aplicații malware văzute în ultimul an, despre care guvernul ucrainean, CIA și alte firme de securitate au descoperit legături cu hackerii ruși.
Dar, spre deosebire de atacurile malware anterioare, acest ultim eșantion distruge doar datele de rezervă ale mașinilor atacate, lăsând intact restul hard disk-ului PC-ului. Scopul real al malware-ului, consideră cercetătorii Talos, este că orice date stocate pe serverele pe care PC-urile infectate le-ar putea atinge în rețea ar corupe permanent aceste fișiere de pe server. Această abordare poate fi proiectată pentru o formă mai rapidă, mai stealthieră de distrugere a datelor, în timp ce încă se mai pot lăsa în urmă infecții malware funcționale în spatele unor mașini victime, permițând hackerilor să mențină accesul asupra țintelor. În consecință, organizatorii olimpici au reușit să-și pornească din nou sistemul în 24 de ore, în comparație cu victimele NotPetya care, în multe cazuri, au pierdut definitiv zeci de mii de computere și au necesitat săptămâni pentru a se recupera în totalitate
Cercetătorii Talos spun că au obținut malware-ul când a fost detectat și încărcat în produsele de securitate ale companiei, deși cercetătorii nu au dezvăluit originea exactă a codului. Dar, ca dovadă că aceasta a vizat, de fapt, o anumită infrastructură a Jocurilor Olimpice, aceștia indică o listă cu 44 de nume de utilizator și parole incluse în codul malware, toate pentru conturile de pe PyeongChang2018.com, domeniul Jocurilor Olimpice. Cu aceste conturi ca punct de pornire, malware-ul s-a răspândit apoi utilizând funcții Windows precum PSExec și Windows Query Language, care permit unei mașini să se conecteze la alta, și apoi scrutarea datelor din browser și a memoriei de sistem a mașinii următoare pentru a obține mai multe acreditări.
Nu este clar cum hackerii din spatele acțiunii au pătruns pentru prima oară în țintă sau cum au obținut acreditările a 44 de membri ai personalului olimpic pentru a-și începe atacul. Dar cercetătorii Talos spun că multitudinea de tehnici de răspândire și acele acreditări prealabile indică un adversar sofisticat și pregătit.
