Специалисты «Лаборатории Касперского» тщательно изучили вредонос Olympic Destroyer, который злоумышленники использовали для кибератаки во время церемонии открытия Олимпийских игр в Пхёнчхане. Они пришли к выводу, что в программе намеренно оставлены следы, ведущие исследователей в ложном направлении.

С точки зрения механизма распространения Olympic Destroyer является сетевым червем. Исследователи считают, что на компьютеры он попал при помощи вредоносных вложений в электронную почту. При открытии документа MS Office пользователь видел тарабарщину, отформатированную в виде текстовых блоков. Считая, что проблема связана с кодировкой, жертва нажимает на кнопку Enable content, которая и запускает выполнение зловредного скрипта.

Эксперты установили, что пострадал не только официальный сайт pyeongchang2018.com, но также несколько других сетей: поставщика программного обеспечения, ответственного за автоматизацию на горнолыжных курортах, двух гостиниц для горнолыжников неподалеку от места проведения Олимпиады и IT-провайдера (Atos.net) со штаб-квартирой во Франции.

Атака началась с серверов одного из отелей. Вредоносные программы заблокировали управление подъемниками на лыжных трассах. Специалисты считают, что это было сделано намеренно, чтобы червь как можно глубже проник в инфраструктуру, создал максимальные неудобства и получил широкое освещение в новостях.

Используя пароли, собранные из браузеров зараженного компьютера, вредонос распространился на другие узлы локальной сети, уничтожая все резервные данные и выводя системы из строя. В результате перестал функционировать официальный сайт Олимпиады и сеть Wi-Fi на стадионе. Многие посетители не смогли распечатать билеты, была нарушена прямая трансляция.

Расследованием произошедшего занялись сразу несколько исследовательских групп из разных стран. Специалисты из Cisco Talos установили, что целью атаки была остановка систем, а не кража информации. Они также отметили сходство некоторых методов Olympic Destroyer с шифровальщиками Bad Rabbit и NotPetya.

Вскоре после этого израильская компания IntezerLabs в твиттере сообщила о ряде особенностей вредоноса, близких к китайским зловредам. Одновременно с этим в зарубежной прессе появились статьи, намекавшие на участие в разработке червя российских группировок.

В конечном итоге большинство экспертов сошлись в том, что все следы указывают на Lazarus Group, которую обычно связывают с Северной Кореей. В 2014 году ФБР обвинило эту группировку в кибератаке на Sony Pictures Entertainment.

Однако специалисты «Лаборатории Касперского» пришли к выводу что следы в коде программы, указывающие на северокорейских киберпреступников, были оставлены намеренно, чтобы ввести исследователей в заблуждение. «Скорее всего, они рассчитывали на то, что доказать факт подделки этого артефакта будет очень сложно. Это как если бы преступник украл чей-то образец ДНК и оставил его на месте преступления вместо собственных следов. Однако мы поняли и доказали, что в случае с Olympic Destroyer обнаруженная «ДНК» была оставлена там намеренно», — сказал руководитель исследовательского центра компании в Азиатско-Тихоокеанском регионе Виталий Камлюк в ходе Security Analyst Summit.

Кроме того, специалисты нашли несколько признаков, указывающих на участие в этом деле совсем других людей — русскоязычной APT-группировки Sofacy, более десяти лет специализирующейся на целевом фишинге и кибершпионаже. Специалистам известно, что она уже проявляла интерес к Олимпийским играм, Всемирному антидопинговому агентству (WADA) и Спортивному арбитражному суду (CAS).

В заключение эксперты «Лаборатории Касперского» призвали не торопиться с атрибуцией. «Это очень тонкая тема, с которой нужно обращаться с большой осторожностью. Мы как индустрия не должны жертвовать точностью наших исследований только ради того, чтобы с выгодой продвигать свой бизнес. В условиях, когда киберпространство стало столь политизированным, неверная атрибуция способна повлечь за собой серьезные последствия. А организаторы атак могут начать манипулировать мнениями в сообществе по кибербезопасности, чтобы повлиять на геополитическую обстановку в мире», — отметил Камлюк.

Категории: Аналитика, Вредоносные программы