Olympic Destroyer znów atakuje

Badacze z Kaspersky Lab monitorujący zagrożenie Olympic Destroyer, znane z ataku związanego z otwarciem Zimowych Igrzysk Olimpijskich w Pjongczangu, w którym wykorzystano destrukcyjnego robaka sieciowego, odkryli, że odpowiedzialne za ten atak ugrupowanie cyberprzestępcze jest nadal aktywne. Wyniki badania wskazują, że celem są Niemcy, Francja, Szwajcaria, Holandia, Ukraina oraz Rosja, w szczególności organizacje zajmujące się ochroną przed zagrożeniami chemicznymi i biologicznymi.

 

 

Olympic Destroyer to zaawansowane cyberzagrożenie, które uderzyło w organizacje, dostawców oraz partnerów Zimowych Igrzysk Olimpijskich 2018 w Pjongczangu, w Korei Południowej, stosując operację sabotażu opartą na destrukcyjnym robaku sieciowym. Ślady wskazywały na różne kierunki źródła ataku, wywołując pewne zamieszanie w branży bezpieczeństwa IT w lutym 2018 r. Kilka rzadkich i wyrafinowanych tropów odkrytych przez Kaspersky Lab sugerowało, że za całą operacją stało ugrupowanie Lazarus, które ma powiązania z Koreą Północną. Jednak w marcu firma potwierdziła, że kampania ta stanowiła misterną i przekonującą operację pod tzw. fałszywą banderą, której nie można przypisać ugrupowaniu Lazarus. Obecnie badacze ustalili, stosując własny zestaw narzędzi do infiltracji i rekonesansu, że operacja Olympic Destroyer została wznowiona i koncentruje się na celach w Europie.

Ugrupowanie rozprzestrzenia swoje szkodliwe oprogramowanie za pośrednictwem dokumentów typowych dla phishingu ukierunkowanego (spear-phishing), które przypominają dokumenty wykorzystane podczas przygotowań do operacji związanej z igrzyskami zimowymi. Jeden z takich dokumentów o charakterze przynęty nawiązywał do “Spiez Convergence”, konferencji dot. zagrożeń biochemicznych, która została zorganizowana w Szwajcarii przez Spiez Laboratory – organizację, która odegrała kluczową rolę w dochodzeniu w związku z atakiem w Salisbury. Inny dokument był wymierzony w jednostkę ukraińskiego organu ds. zdrowia i kontroli weterynaryjnej. Niektóre z wykrytych przez badaczy dokumentów phishingowych zawierają słowa w języku rosyjskim i niemieckim.

Wszystkie ostateczne funkcje szkodliwe wyodrębnione z dokumentów stosowanych podczas ataku miały na celu zapewnienie zdalnego dostępu do zainfekowanych komputerów. W drugim etapie ataku wykorzystano darmowe rozwiązanie, powszechnie znane jako Powershell Empire.

Atakujący wykorzystują zhakowane legalne serwery WWW w celu przechowywania i kontrolowania szkodliwego oprogramowania. Serwery te wykorzystują popularny, oparty na otwartym źródle system do zarządzania treścią (CMS) o nazwie Joomla. Badacze ustalili, że jeden z serwerów przechowujący szkodliwą funkcję wykorzystał w listopadzie system Joomla w wersji 1.7.3, co sugeruje, że do zhakowania serwerów przestępcy mogli wykorzystać bardzo przestarzały wariant systemu CMS.

Na podstawie telemetrii Kaspersky Lab oraz plików przesłanych do serwisów oferujących wiele skanerów antywirusowych wydaje się, że celem kampanii Olympic Destroyer były podmioty w Niemczech, Francji, Szwajcarii Holandii, na Ukrainie oraz w Rosji.

Pojawienie się na początku tego roku szkodnika Olympic Destroyer, który stosuje wyrafinowane oszustwa, pokazało, jak łatwo jest popełnić błąd, w przypadku gdy badacze widzą jedynie fragmenty obrazu. Analiza tych zagrożeń oraz działania odstraszające powinny opierać się na współpracy pomiędzy sektorem prywatnym a rządami różnych państw. Mamy nadzieję, że dzięki upublicznieniu naszych wyników osoby odpowiedzialne za reagowanie na incydenty oraz badacze bezpieczeństwa będą lepiej przygotowani do rozpoznania i złagodzenia takiego ataku na dowolnym etapie w przyszłości – powiedział Witalij Kamliuk, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab. 

W poprzednim ataku podczas zimowych igrzysk olimpijskich początek etapu rekonesansu miał miejsce kilka miesięcy przed epidemią samodzielnie modyfikującego się destrukcyjnego robaka sieciowego. Istnieje duże prawdopodobieństwo, że cybergang Olympic Destroyer przygotowuje podobny atak, mając nowe motywy. Z tego powodu zalecamy podmiotom zajmującym się badaniem zagrożeń biologicznych i chemicznych, aby zachowały czujność i w miarę możliwości przeprowadziły audyty pozaplanowe.

Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie związane ze szkodliwymi narzędziami ugrupowania Olympic Destroyer.

Szczegóły techniczne dotyczące nowych ataków grupy Olympic Destroyer są dostępne na stronie https://r.kaspersky.pl/LYgv8.