Kaspersky Lab pētnieki, kuri izseko apdraudējumu Olympic Destroyer, kas ar postošu tīkla tārpu sekmīgi sabojāja ziemas olimpisko spēļu atklāšanu Phjončhanā, ir konstatējuši, ka attiecīgā hakeru grupa joprojām darbojas. Šķiet, ka tā uzbrūk Vācijai, Francijai, Šveicei, Nīderlandei, Ukrainai un Krievijai, galveno uzmanību pievēršot organizācijām, kas ir iesaistītas aizsardzībā pret ķīmiskajiem, bioloģiskajiem un kodoldraudiem.
Olympic Destroyer ir sarežģīts apdraudējums, kas uzbruka 2018. gada ziemas olimpisko spēļu Phjončhanā, Dienvidkorejā, rīkotājiem, piegādātājiem un partneriem ar kibersabotāžas operāciju, kuras pamatā bija postošs tīkla tārps. Attiecībā uz uzbrukuma izcelsmi vairāki indikatori norādīja dažādos virzienos, 2018. gada februārī izraisot apjukumu informācijas drošības nozarē. Dažas reti sastopamas un sarežģītas zīmes, ko pamanīja Kaspersky Lab, liecināja, ka operācijas autors bija ar Ziemeļkoreju saistīts apdraudējumu izpildītājs — grupa Lazarus, tomēr martā uzņēmums apstiprināja, ka kampaņā ir ietverta komplicēta un pārliecinoša viltus pazīmju izmantošana un Lazarus, visticamāk, nav tās avots. Tagad pētnieki ir konstatējuši, ka operācija Olympic Destroyer atkal darbojas, izmantojot dažus tās sākotnējos iefiltrēšanās un izlūkošanas rīku komplektus un pievēršoties upuriem Eiropā.
Apdraudējuma izpildītājs izplata ļaunprogrammatūru ar mērķpikšķerēšanas dokumentiem, kas ir ļoti līdzīgi par ieroci pārvērstajiem dokumentiem, kuri tika izmantoti ziemas olimpisko spēļu operācijas sagatavošanā. Viens šāds pievilināšanas dokuments attiecās uz bioķīmisko draudu konferenci «Spiez Convergence», kas norisinājās Šveicē un ko rīkoja Spiez Laboratory — organizācija, kurai bija izšķirīga nozīme Solsberijas uzbrukuma izmeklēšanā. Cits dokuments bija vērsts pret Ukrainas veselības un veterinārās kontroles iestādes struktūrvienību. Daži pētnieku atklātie mērķpikšķerēšanas dokumenti ietver vārdus krieviski un vāciski.
Visi galīgie lietderīgie dati, kas iegūti no ļaunprātīgajiem dokumentiem, bija paredzēti, lai nodrošinātu vispārēju piekļuvi uzlauztajiem datoriem. Uzbrukuma otrajā posmā tika izmantots bezmaksas atvērtā pirmkoda satvars, kas plaši pazīstams ar nosaukumu Powershell Empire.
Domājams, ka ļaunprogrammatūras mitināšanai un pārvaldībai uzbrucēji izmanto uzlauztus leģitīmus tīmekļa serverus. Šie serveri izmanto populāru atvērtā pirmkoda satura pārvaldības sistēmu (CMS), ko sauc Joomla. Pētnieki noskaidroja, ka viens no serveriem, kas mitināja ļaunprātīgos lietderīgos datus, izmantoja Joomla versiju (v1.7.3), kura ir izlaista 2011. gada novembrī. Tas liecina, ka uzbrucēji serveru uzlaušanai var izmantot ļoti novecojušu CMS variantu.
Pamatojoties uz Kaspersky Lab telemetriju un multiskeneru pakalpojumos augšupielādētajām datnēm, šķiet, ka šo Olympic Destroyer kampaņu interesē objekti Vācijā, Francijā, Šveicē, Nīderlandē, Ukrainā un Krievijā.
«Olympic Destroyer parādīšanās šā gada sākumā ar tā sarežģītajiem maldināšanas mēģinājumiem uz visiem laikiem ir mainījusi autorības noteikšanas spēli un nodemonstrējusi, cik viegli var pieļaut kļūdu, kad pētniekiem ir redzami tikai kopainas fragmenti. Šo apdraudējumu analīzei un apturēšanai ir jābalstās uz privātā sektora un starpvalstu sadarbību. Mēs ceram, ka ar mūsu konstatējumu publikācijām turpmāk reaģētāji uz incidentiem un drošības pētnieki varēs jebkurā posmā labāk pazīt un mazināt šādu uzbrukumu,» sacīja Kaspersky Lab Starptautiskās pētniecības un analīzes grupas drošības pētnieks Vitālijs Kamļuks.
Iepriekšējā uzbrukumā ziemas olimpisko spēļu laikā izlūkošanas posms sākās pāris mēnešu pirms pašmodificējošā, postošā tīkla tārpa epidēmijas. Ļoti iespējams, ka Olympic Destroyer gatavo līdzīgu uzbrukumu ar jauniem motīviem, tāpēc mēs iesakām bioloģisko, ķīmisko un kodoldraudu pētniecības organizācijām būt paaugstinātas gatavības stāvoklī un, ja iespējams, uzsākt ārpuskārtas drošības auditu.
Kaspersky Lab izstrādājumi sekmīgi atklāj un bloķē ar Olympic Destroyer saistīto ļaunprogrammatūru.
Lai uzzinātu vairāk par Olympic Destroyer atgriešanos, tostarp ielaušanās indikatoriem, izlasiet rakstu vietnē Securelist.
Par Kaspersky Lab
Kaspersky Lab ir starptautisks uzņēmums, kas jau 20 gadus strādā informācijas drošības jomā. Dziļas speciālās zināšanas un uzņēmuma divdesmit gadu pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, izšķirīgi svarīgas infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky Lab plašais piedāvājumu klāsts ietver progresīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky Lab tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.