Virusul care a înregistrat o premieră periculoasă în securitatea cibernetică

Virusul care a înregistrat o premieră periculoasă în securitatea cibernetică
19:50 08.03.2018

Cu un nume ca Olympic Destroyer, nu te aștepți să fie nimic ușor în înțelegerea virusului care a afectat Jocurile Olimpice de Iarnă din Coreea de Sud. Au fost însă înțelese câteva caracteristici ale acestuia care vor ajuta pe termen lung securitatea cibernetică.

Echipa Globală de Cercetare și Analiză de la Kaspersky Lab a publicat rezultatele studiului asupra atacurilor realizate cu virusul malware Olympic Destroyer. Pe scurt, acesta a fost un atac prin care industria cibernetică să fie păcălită, ca să nu știe exact cine a orchestrat asta.

Olympic Destroyer a paralizat temporar sistemele IT de la Jocurile Olimpice de Iarnă, înaintea ceremoniei oficiale de deschidere. Au fost oprite toate monitoarele, rețeaua WiFi și site-ul n-a mai putut fi accesat, astfel încât vizitatorii nu și-au mai putut tipări biletele. Kaspersky Lab a descoperit că și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware. Acolo oprit funcționarea instalațiilor de schi și a lifturilor din stațiunile respective.

Deși impactul real al atacurilor cu acest malware a fost limitat, avea, în mod clar, capacitatea de a fi unul distrugător, lucru care nu s-a întâmplat, din fericire.

De ce este industria securității cibernetice fascinată de virusul acesta

Principalul interes al industriei de securitate cibernetică nu a constat în pagubele potențiale sau reale produse de atacurile Destroyer, ci în originea lor. Poate niciun alt malware complex nu a mai generat vreodată atâtea ipoteze despre origine cum s-a întâmplat cu Olympic Destroyer.

La câteva zile de la descoperire, echipele de cercetare din toată lumea au atribuit acest malware Rusiei, Chinei și Coreei de Nord. Asta a fost pe baza unor caracteristici asociate anterior cu grupări de spionaj cibernetic și sabotaj care se presupunea că provin din aceste țări și lucrează pentru guvernele țărilor respective.

Cercetătorii Kaspersky Lab au găsit, în timpul investigațiilor, și o dovadă sigură că era vorba de Lazarus – un grup susținut la nivel statal, care are legături cu Coreea de Nord. Concluzia se baza pe o urmă unică lăsată de atacatori.

O îmbinare a anumitor caracteristici ale codului, păstrate în fișiere, poate fi folosită ca o „amprentă”, în unele cazuri reușind să identifice autorii unui malware și acțiunile lor. În mostra analizată de Kaspersky Lab, amprenta dădea o potrivire de 100% cu unele componente cunoscute ca aparținând grupului Lazarus și de 0% cu alte fișiere curate sau infectate cunoscute.

Pe baza unor similarități de tactici, tehnici și proceduri (TTP), specialiștii au ajuns la concluzia preliminară că Olympic Destroyer era încă o lovitură marca Lazarus. Cu toate acestea, motivația și alte elemente nu se potriveau, așa că investigația a fost reluată.

Totul a fost falsificat pentru a se potrivi perfect cu amprenta folosită de Lazarus.

Concluzia a fost că „amprenta” era un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.

„Din câte știm, dovada pe care am reușit să o găsim nu a mai fost folosită până acum pentru atribuire. Atacatorii au decis să o folosească, anticipând că cineva o va găsi. Au mizat că falsificarea acestui artefact este foarte greu de dovedit. Este ca și cum un infractor ar fi furat ADN-ul altcuiva și l-ar li lăsat la locul crimei, în locul celui propriu.

Toate acestea demonstrează cât de multe eforturi fac atacatorii pentru a rămâne neidentificați cât mai mult posibil. Am spus întotdeauna că atribuirea în spațiul cibernetic este foarte dificilă, pentru că o grămadă de lucruri pot fi falsificate, iar Olympic Destroyer este un bun exemplu în acest sens”, a declarat Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab.

Atribuirea cu acuratețe a atacului Olympic Destroyer rămâne o întrebare fără răspuns deocamdată – pur și simplu, pentru că este un exemplu unic de implementare a unui indiciu fals foarte complex.

În timpul cercetării, specialiștii au descoperit că atacatorii au folosit un serviciu de protecție a identității NordVPN și un furnizor de servicii de hosting denumit MonoVM. Ambele acceptă Bitcoin. Aceste indicii au mai fost văzute anterior la Sofacy – un atacator vorbitor de limbă rusă. Găsești pe site-ul companiei de securitate cibernetică o detaliere a elementelor acestui virus.

loading...