HomeStiriSecuritate ITVirusul Olympic Destroyer revine vizând alt tip de organizații
virusul-olympic-destroyer-revine-vizand-alt-tip-de-organizatii

Virusul Olympic Destroyer revine vizând alt tip de organizații

virusul-olympic-destroyer-revine-vizand-alt-tip-de-organizatiiCercetătorii Kaspersky Lab precizează că virusul Olympic Destroyer revine, vizând entități de protecție în domeniul amenințărilor chimice și biologice, din Europa.

Olympic Destroyer a paralizat temporar sistemele IT de la Jocurile Olimpice de Iarnă, înaintea ceremoniei oficiale de deschidere. Au fost oprite toate monitoarele, rețeaua WiFi și site-ul n-a mai putut fi accesat, astfel încât vizitatorii nu și-au mai putut tipări biletele. Kaspersky Lab a descoperit că și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware, oprind funcționarea stațiunilor de schi și a lifturilor, conform securityportal.ro.

Tot atunci, cercetătorii au constatat că hackerii au încercat să îi inducă în eroare în ceea ce privește proveniența virusului. Cercetătorii au concluzionat că „amprenta” este un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.

Recent, cercetătorii Kaspersky Lab au descoperit că grupul din spatele Olympic Destroyer este încă activ. Se pare că vizează Germania, Franța, Elveția, Olanda, Ucraina și Rusia, cu un interes deosebit pentru organizațiile care acționează pentru protecția împotriva amenințărilor chimice și biologice, conform comunic.ro.

Acest atacator își răspândește malware-ul prin intermediul unor documente de spear-phishing care seamănă foarte mult cu documentele folosite în pregătirea operațiunii Olympic Destroyer. Un astfel de document momeală făcea referire la Convergența Spiez, o conferință referitoare la amenințările bio-chimice, organizată în Elveția de Laboratorul Spiez, o organizație care a jucat un rol cheie în investigarea atacului Salisbury. Un alt document viza o entitate din domeniul controlului sanitar-veterinar din Ucraina. Unele dintre documentele de spear-phishing descoperite de cercetători includ cuvinte în rusă și germană.

Se pare că atacatorii folosesc servere web legitime, dar compromise, pentru a găzdui și controla malware-ul. Aceste servere folosesc un cunoscut sistem open-source de management de conținut (CMS), denumit Joomla. Cercetătorii au descoperit că unul dintre serverele care găzduiau malware-ul folosea o versiune de Joomla ((v1.7.3), publicată în noiembrie 2011, ceea ce sugerează că o variantă foarte veche de CMS ar fi putut fi folosită de atacatori pentru a sparge serverele, scrie clubitc.ro.

Toate elementele periculoase extrase din documentele infectate erau create pentru a oferi acces la computerele compromise. O structură open-source și gratuită, cunoscută ca Powershell Empire, era folosită pentru a doua fază a atacului.

 

 

 

Share With: