Securitate — March 9, 2018 at 7:21 am

Cine a fost la originea programul malware Olympic Destroyer

by

destroyerEchipa Globală de Cercetare și Analiză de la Kaspersky Lab a publicat rezultatele studiului său asupra atacurilor realizate cu ajutorul programului malware Olympic Destroyer, furnizând dovezi tehnice în privința indiciilor false de o mare complexitate plasate în malware, de către autori, pentru a induce în eroare în legătură cu adevăratele sale origini.

„Viermele” Olympic Destryer a atras atenția în timpul Jocurilor Olimpice de Iarnă. Jocurile Olimpice de la Pyeongchang au fost vizate de un atac cibernetic ce a paralizat temporar sistemele IT, înaintea ceremoniei oficiale de deschidere, oprind toate monitoarele, rețeaua Wi-Fi și făcând site-ul inaccesibil, astfel încât vizitatorii nu-și mai puteau tipări biletele. Kaspersky Lab a descoperit că și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware, care a oprit funcționarea instalațiilor de schi și a lifturilor din stațiunile respective. Deși impactul real al atacurilor cu acest malware a fost limitat, avea, în mod clar, capacitatea de a fi unul distrugător, lucru care nu s-a întâmplat, din fericire.

Însă principalul interes al industriei de securitate cibernetică nu a constat în pagubele potențiale sau reale produse de atacurile Destroyer, ci în originea lor. Poate niciun alt malware complex nu a mai generat vreodată atâtea ipoteze privind atribuirea cum s-a întâmplat cu Olympic Destroyer.

După o altă privire atentă asupra dovezii și o verificare ca la carte a fiecărei caracteristici, cercetătorii au descoperit că setul de parametri nu se potrivea cu codul – totul fusese falsificat pentru a se potrivi perfect cu amprenta folosită de Lazarus.

Prin urmare, cercetătorii au concluzionat că „amprenta” este un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.

Atribuirea cu acuratețe a atacului Olympic Destroyer rămâne o întrebare fără răspuns deocamdată – pur și simplu, pentru că este un exemplu unic de implementare a unui indiciu fals foarte complex. Cu toate acestea, cercetătorii Kaspersky Lab au descoperită că atacatorii au folosit un serviciu de protecție a identității NordVPN și un furnizor de servicii de hosting denumit MonoVM, ambele acceptând Bitcoin. Aceste indicii, precum și alte TTP-uri au mai fost văzute anterior la Sofacy – un atacator vorbitor de limbă rusă.