Исследователи обнародовали новые подробности о вирусе Olympic Destroyer, атаковавшем зимние Олимпийские игры в южнокорейском Пхёнчхане.

Эксперты из Cisco Talos полагают, что вирус также уничтожает файлы на общих сетевых дисках. Исследователи думали, что вредоносное ПО нацелено только на отдельные конечные точки. Кроме того, сейчас они полагают, что компонент вируса, который крадет учетные данные, является более динамическим, чем считалось изначально.

Вирус Olympic Destroyer атаковал 9 февраля во время церемонии открытия, его винят в проблемах с показом мероприятия по телевидению и выводе из строя официального веб-сайта зимних Олимпийских игр. Из-за него же зрители не могли распечатывать билеты, а сеть Wi-Fi, предоставленная журналистам, освещающим церемонию открытия, не работала.

Исследователи Cisco Talos заявили, что единственной целью атаки был вывод систем из строя, а не кража информации.

Они первоначально сообщили, что цель вируса Olympic Destroyer состоит в том, чтобы делать системы неработоспособными путем «удаления теневых копий, журналов событий и использования PsExec и WMI для дальнейшего продвижения по среде», так же как это делали вирусы-вымогатели Bad Rabbit и Nyeyta.

Вирус Olympic Destroyer — это двоичный файл, причиняющий вред машинам, и пара модулей для кражи информации. Один из них собирает все учетные данные пользователей, внедренные в браузеры Internet Explorer, Firefox и Chrome, а другой извлекает их из службы проверки подлинности локальной системы безопасности Windows.

«Вирус проверяет реестр и запрашивает файл sqlite для получения хранимых учетных данных», — заявили в Talos.

В своем сообщении в Twitter исследователь из Talos Крейг Уилльямс (Craig Williams) отметил, что по результатам анализа атак он предполагает, что данные целевых систем Олимпийских игр были получены заранее.

«Наша запись была изменена. Теперь в ней также говорится о том, что и общие сетевые ресурсы под угрозой, — ужасная новость — по сути, они уничтожаются: Вирус Olympic Destroyer нацелился на зимние Олимпийские игры — есть признаки того, что системы были скомпрометированы», — пишет Уильямс.

Обновленная запись в блоге Talos гласит: «Автор вируса знал множество технических данных инфраструктуры Олимпийских игр, среди которых имена пользователей, имя домена, имена серверов и, очевидно, пароли».

Когда исследователи тщательнее проанализировали двоичные файлы вируса Olympic Destroyer, связанные с атакой, они обнаружили, что при каждом заражении в код добавлялись новые учетные данные.

«Новый двоичный файл будет использоваться в системах, вновь зараженных путем распространения. Это объясняет, почему мы обнаружили несколько образцов с разными наборами учетных данных, которые были собраны в ранее зараженных системах» — уточняется в обновленной записи.

Однако способ доставки вредоносного ПО все еще неизвестен. Компания Talos добавила: «Если у злоумышленника уже был доступ к среде, эту атаку можно было произвести удаленно. Это позволило бы выбрать определенный момент церемонии открытия, а также контролировать время нанесения ущерба».

«Очевидной целью атаки такого типа является нарушение работы. Мы уверены в том, что люди, стоящие за этой атакой, стремились поставить Олимпийский комитет в неудобное положение во время церемонии открытия» — отмечается в отчете.

Категории: Аналитика, Вредоносные программы, Главное