Virusul Olympic Destroyer vrea să inducă în eroare experții în securitate cibernetică
Experții în securitate cibernetică spun că hackerii vor să-i inducă în eroare cu privire la originea atacului cu Olympic Destroyer în cadrul Jocurilor Olimpice de iarnă.
Olympic Destroyer a paralizat temporar sistemele IT de la Jocurile Olimpice de Iarnă, înaintea ceremoniei oficiale de deschidere. Au fost oprite toate monitoarele, rețeaua WiFi și site-ul n-a mai putut fi accesat, astfel încât vizitatorii nu și-au mai putut tipări biletele. Kaspersky Lab a descoperit că și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware. Acolo oprit funcționarea instalațiilor de schi și a lifturilor din stațiunile respective, scrie playtech.ro.
Deși impactul real al atacurilor cu acest malware a fost limitat, avea, în mod clar, capacitatea de a fi unul distrugător, lucru care nu s-a întâmplat, din fericire.
Însă principalul interes al industriei de securitate cibernetică nu a constat în pagubele potențiale sau reale produse de atacurile Destroyer, ci în originea lor. Poate niciun alt malware complex nu a mai generat vreodată atâtea ipoteze privind atribuirea cum s-a întâmplat cu Olympic Destroyer, scrie clubitc.ro.
Echipa Globală de Cercetare și Analiză de la Kaspersky Lab a publicat rezultatele studiului său asupra atacurilor realizate cu ajutorul programului malware Olympic Destroyer, furnizând dovezi tehnice în privința indiciilor false de o mare complexitate plasate în malware, de către autori, pentru a induce în eroare în legătură cu adevăratele sale origini.
După o privire atentă asupra dovezii și o verificare ca la carte a fiecărei caracteristici, cercetătorii au descoperit că setul de parametri nu se potrivea cu codul – totul fusese falsificat pentru a se potrivi perfect cu amprenta folosită de Lazarus.
Prin urmare, cercetătorii au concluzionat că „amprenta” este un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.
La câteva zile de la descoperire, echipele de cercetare din toată lumea au atribuit acest malware Rusiei, Chinei și Coreei de Nord, pe baza unor caracteristici asociate anterior cu grupări de spionaj cibernetic și sabotaj care se presupunea că provin din aceste țări și lucrează pentru guvernele țărilor respective, scrie agora.ro.
Cercetătorii Kaspersky Lab au încercat și ei să înțeleagă care grup de hacking era în spatele acestui malware. La un moment dat, în cadrul cercetării, au găsit ceva ce părea o dovadă sigură că era vorba de Lazarus – un grup susținut la nivel statal, având legături cu Coreea de Nord.
Cu toate acestea, motivația și alte elemente care nu se potriveau cu TTP-urile Lazarus, descoperite în timpul investigației de Kaspersky Lab, la locul incidentului din Coreea de Sud, i-au determinat pe cercetători să reia analiza artefactului rar.
Atribuirea cu acuratețe a atacului Olympic Destroyer rămâne o întrebare fără răspuns deocamdată – pur și simplu, pentru că este un exemplu unic de implementare a unui indiciu fals foarte complex. Cu toate acestea, cercetătorii Kaspersky Lab au descoperită că atacatorii au folosit un serviciu de protecție a identității NordVPN și un furnizor de servicii de hosting denumit MonoVM, ambele acceptând Bitcoin. Aceste indicii, precum și alte TTP-uri au mai fost văzute anterior la Sofacy – un atacator vorbitor de limbă rusă.
Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab spune că atribuirea atacurilor cibernetice trebuie luată foarte în serios: „Având în vedere cât de politizat a devenit spațiul cibernetic în ultimul timp, atribuirea greșită ar putea să ducă la consecințe serioase, iar autorii din spatele amenințărilor s-ar putea să înceapă să manipuleze opinia comunității de securitate pentru a influența agenda geopolitică.”