Securitate — June 19, 2018 at 2:43 pm

Olympic Destroyer revine

by

Cercetătorii Kaspersky Lab care urmăresc amenințarea Olympic Destroyer, ce a acționat în deschiderea Jocurilor Olimpice de Iarnă de la Pyeongchang, cu malware distructiv de rețea, au descoperit că grupul din spatele său este încă activ. Se pare că vizează Germania, Franța, Elveția, Olanda, Ucraina și Rusia, cu un interes deosebit pentru organizațiile care acționează pentru protecția împotriva amenințărilor chimice și biologice.

4626_OlympicDestroyer_infographicOlympic Destroyer este o amenințare avansată care a afectat organizatorii, furnizorii și partenerii Jocurilor Olimpice de Iarnă 2018 de la Pyeongchang, Coreea de Sud, cu o operațiune de spionaj cibernetic bazată pe un malware de tip „vierme”, care acționează în rețea. Mai multe indicii au arătat în direcții diferite în ceea ce privește originea atacului, creând confuzie în rândul comunității de securitate cibernetică, în luna februarie 2018. Câteva indicii rare și complexe descoperite de Kaspersky Lab sugerează că grupul Lazarus, un atacator care are legătură cu Coreea de Nord, a fost în spatele acestei operațiuni. Cu toate aceste, în luna martie, compania a confirmat că era vorba de un indiciu fals foarte elaborat și convingător, prin urmare, puțin probabil ca Lazarus să fie sursa. Cercetătorii au descoperit acum că operațiunea Olympic Destroyer a revenit, folosind unele dintre instrumentele sale inițiale de infiltrare și recunoaștere și concentrându-se pe ținte din Europa.

Acest atacator își răspândește malware-ul prin intermediul unor documente de spear-phishing care seamănă foarte mult cu documentele folosite în pregătirea operațiunii Olympic Destroyer. Un astfel de document momeală făcea referire la Convergența Spiez, o conferință referitoare la amenințările bio-chimice, organizată în Elveția de Laboratorul Spiez, o organizație care a jucat un rol cheie în investigarea atacului Salisbury. Un alt document viza o entitate din domeniul controlului sanitar-veterinar din Ucraina. Unele dintre documentele de spear-phishing descoperite de cercetători includ cuvinte în rusă și germană.

Toate elementele periculoase extrase din documentele infectate erau create pentru a oferi acces la computerele compromise. O structură open-source și gratuită, cunoscută ca Powershell Empire, era folosită pentru a doua fază a atacului.

Se pare că atacatorii folosesc servere web legitime, dar compromise, pentru a găzdui și controla malware-ul. Aceste servere folosesc un cunoscut sistem open-source de management de conținut (CMS), denumit Joomla. Cercetătorii au descoperit că unul dintre serverele care găzduiau malware-ul folosea o versiune de Joomla ((v1.7.3), publicată în noiembrie 2011, ceea ce sugerează că o variantă foarte veche de CMS ar fi putut fi folosită de atacatori pentru a sparge serverele.

După cum reiese din telemetria Kaspersky Lab și din fișierele încărcate pe servicii multi-scanner, interesele campaniei Olympic Destroyer par să fi fost entități din Germania,  Franța, Elvețua, Olanda, Ucraina și Rusia.

„Apariția Olympic Destroyer, la începutul acestui an, cu eforturile sale complexe de inducere în eroare, a schimbat regulile jocului atribuirii pentru totdeauna și a arătat cât este de ușor să faci o greșeală, având la dispoziție numai câteva fragmente din tabloul complet, cum sunt cele la care au acces cercetătorii”, spune Vitaly Kamluk, security researcher în echipa Kaspersky Lab GReAT. „Analiza și descurajarea acestor amenințări ar trebui să se bazeze pe cooperarea dintre sectorul privat și guverne. Sperăm că, făcând publice aceste rezultate, echipele de IT și cercetătorii în domeniul securității vor fi în măsură să recunoască și să remedieze un astfel de atac, în orice etapă a lui, pe viitor.”
În atacul precedent, din timpul Jocurilor Olimpice de Iarnă, începutul etapei de recunoaștere a avut loc cu câteva luni înainte de infectarea cu „viermele” de rețea care are capacitatea de a auto-modifica. Este, prin urmare, posibil ca Olympic Destroyer să pregătească un atac similar. De aceea, recomandăm entităților de cercetare în domeniul amenințărilor biologice și chimice să rămâne în stare de alertă și să înceapă audituri de securitate neprogramate, acolo unde este posibil.