#CyberFiles Cum au atacat hackerii Jocurile Olimpice de Iarna 2018. Inca se cauta vinovatul

Confuzia si "amprentele" pentru piste false sunt doar doua dintre caracteristicile operatiunii de spionaj cibernetic Olympic Destroyer, demarata cu putin timp inainte de inceperea Jocurilor Olimpice de Iarna 2018 de la Pyeongchang din Coreea de Sud.

Competitia a intrat in vizorul atacatorilor informatici, care au reusit sa paralizeze sistemele IT, reteaua Wi-Fi si sa blocheze site-ul competitiei.

Cum au reusit cei din spatele atacului sa bulverseze un intreg sistem integrat si cum au fost pusi in dilema expertii in securitate cibernetica, ne-au explicat chiar acestia din urma.

Concurentul nedorit de la Jocurile Olimpice

Activitatea "viermelui" Olympic Destroyer incepe sa-si faca simtita prezenta inaintea Jocurilor Olimpice din Coreea de Sud, din iarna anului trecut. Astfel, ca urmare a derularii acestei amenintari avansate, sunt afectati organizatorii, furnizorii si partenerii competitiei de la Pyeongchang.

In prima faza, indiciile disponibile la acel moment au indicat ipoteze contradictorii in ceea ce priveste originea atacului si au creat confuzie in randul comunitatii de securitate cibernetica, in luna februarie 2018.

Doar cateva indicii rare si complexe descoperite de expertii de la Kaspersky ar fi dus spre grupul Lazarus, un atacator care are legatura cu Coreea de Nord.

Cu toate acestea, in luna martie 2018, compania a confirmat ca era vorba de un indiciu fals foarte bine elaborat si convingator. Prin urmare, putin probabil ca Lazarus sa fi fost sursa...

Dar care au fost pagubele "Distrugatorului Olimpic"?

Pe scurt, Jocurile Olimpice de la Pyeongchang au fost vizate de un atac cibernetic ce a paralizat temporar sistemele IT, inaintea ceremoniei oficiale de deschidere, oprind toate monitoarele, reteaua Wi-Fi si facand site-ul competitiei inaccesibil, astfel incat vizitatorii sa nu-si mai poata tipari biletele.

Mai mult, Kaspersky a descoperit ca si alte cateva statiuni de schi din Coreea de Sud au fost afectate de acelasi malware.

Acesta a oprit functionarea instalatiilor de schi si a lifturilor din statiunile respective.

Per total, desi impactul real al atacurilor cu un astfel de malware a fost limitat, acesta s-a dovedit, in mod clar, ca avea capacitatea de a fi unul distrugator.

Originea atacului, un motiv de confuzie

In viziunea specialistilor din domeniu, se pare ca niciun alt malware complex nu a mai generat vreodata atatea ipoteze privind atribuirea sa, cum s-a intamplat cu Olympic Destroyer.

La cateva zile de la descoperirea sa, echipele de cercetare din toata lumea au atribuit acest virus Rusiei, Chinei si Coreei de Nord, pe baza unor caracteristici asociate anterior cu grupari de spionaj cibernetic si sabotaj, care se presupunea ca provin din aceste tari si ca lucreaza pentru guvernele statelor respective.

Cercetatorii Kaspersky Lab au incercat, astfel, sa inteleaga care grup de hacking era in spatele acestui malware. La un moment dat, in cadrul analizelor, au gasit un indiciu care parea o dovada sigura ca era vorba despre Lazarus - grupul sustinut la nivel statal si cu legaturi cu Coreea de Nord. Concluzia se baza pe o urma unica lasata de atacatori.

"O imbinare a anumitor caracteristici ale codului, pastrate in fisiere, poate fi folosita ca o 'amprenta', in unele cazuri reusind sa identifice autorii unui malware si actiunile lor. In fisierul analizat, amprenta dadea o potrivire de 100% cu unele componente cunoscute ca apartinand grupului Lazarus si de 0% cu alte fisiere curate sau infectate cunoscute (...) Pe baza unor similaritati de tactici, tehnici si proceduri (TTP), initial s-a ajuns la concluzia preliminara ca Olympic Destroyer era inca o lovitura marca Lazarus", sustineau expertii de la Kaspersky.

Surpriza neplacuta avea sa vina la o investigatie mai amanuntita si care arata ca motivatia si alte elemente care nu se potriveau cu TTP-urile Lazarus au fost descoperite la locul incidentului din Coreea de Sud. Dupa o privire mai atenta asupra dovezii si dupa o verificare ca la carte a fiecarei caracteristici, cercetatorii au descoperit ca setul de parametri nu se potrivea cu codul, iar concluzia a fost aceea ca totul fusese o farsa pentru a se potrivi perfect cu amprenta folosita de Lazarus.

In acest mod, "amprenta" a fost un indiciu fals implementat extraordinar de bine, plasat intentionat in malware, pentru a le da specialistilor impresia ca au gasit dovada care ii da de gol pe atacatori, dar care, de fapt, i-a indepartat de pe pista atribuirii corecte.

Atacatorii au folosit un serviciu de protectie a identitatii NordVPN si un furnizor de servicii de hosting denumit MonoVM, ambele acceptand Bitcoin. Aceste indicii, precum si alte TTP-uri, au mai fost vazute anterior la Sofacy - un atacator vorbitor de limba rusa.

Revenirea in actiune cu spear-phishing

Dupa patru luni de la declansarea atacului, in iunie 2018, gruparea din spatele Olympic Destroyer a revenit cu o serie de documente de spear-phishing care semanau foarte mult cu cele folosite in pregatirea operatiunii Olympic Destroyer, anuntau specialistii in securitate cibernetica.

"Un astfel de document-momeala facea referire la Convergenta Spiez, o conferinta pe tema amenintarilor bio-chimice, organizata in Elvetia de Laboratorul Spiez, o organizatie care a jucat un rol-cheie in investigarea atacului Salisbury. Un alt document viza o entitate din domeniul controlului sanitar-veterinar din Ucraina. Unele dintre documentele de spear-phishing descoperite de cercetatori includ cuvinte in rusa si germana", avertizau cei de la Kaspersky.

Potrivit acestora, toate elementele periculoase extrase din aceste documente infectate erau create pentru a oferi acces la computerele compromise, iar o structura open-source gratuita, cunoscuta sub numele de Powershell Empire, era folosita pentru a doua faza a atacului.

Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO) nota, intr-unul dintre rapoartele privind amenintarile cibernetice la nivel global, ca, spre deosebire de situatia din urma cu cativa ani, cand marea majoritate a atacurilor de tip phishing se baza pe trimiterea de e-mailuri in masa la cat mai multi destinatari, "in ultima perioada aceste atacuri devin tot mai tintite".

Denumite "spear phishing", atacurile de acest tip se diferentiaza prin faptul ca infractorii cibernetici personalizeaza actiunea in functie de profilul tintelor, incepand cu limba in care este redactat textul de phishing si continuand cu detalii care fac mesajul mai credibil pentru tinte: subiecte de interes, deghizarea in expeditori cunoscuti cu care tintele relationeaza de obicei etc.

Atacatorii din spatele Olympic Destroyer au apelat, in partea a doua a actiunii de compromitere a retelelor, la servere web legitime, dar compromise, pentru a gazdui si controla malware-ul. Serverele respective foloseau un cunoscut sistem open-source de management de continut (CMS), cunoscut sub denumirea de Joomla, au apreciat specialistii. Tot acestia au descoperit ca unul dintre serverele care gazduiau malware-ul folosea o versiune de Joomla ((v1.7.3), publicata in noiembrie 2011, ceea ce sugereaza ca o varianta foarte veche de CMS ar fi putut fi folosita de atacatori pentru a "detona" serverele.

Analiza telemetrica realizata de Kaspersky a aratat ca interesele campaniei Olympic Destroyer au vizat, in partea a doua a actiunii, entitati din Germania, Franta, Elvetia, Olanda, Ucraina si Rusia.

Inca se cauta "vinovatul"...

Desi au trecut aproape doi ani de la declansarea atacului Olympic Destroyer, misterul legat de cei care au gandit acest scenariu ramane neelucidat, iar atacatorii raman pe lista de "Most Wanted" a expertilor.

"Din cate stim, dovada pe care am reusit sa o gasim nu a mai fost folosita pana acum pentru atribuire (...) Este ca si cum un infractor ar fi furat ADN-ul altcuiva si l-ar fi lasat la locul crimei, in locul celui propriu. Am descoperit si am dovedit ca ADN-ul gasit a fost lasat intentionat la locul incidentului.

Am spus intotdeauna ca atribuirea in spatiul cibernetic este foarte dificila, pentru ca o gramada de lucruri pot fi falsificate, iar Olympic Destroyer este un bun exemplu in acest sens.

Un alt lucru de invatat din aceasta poveste este ca atribuirea trebuie sa fie luata foarte in serios. Avand in vedere cat de politizat a devenit spatiul cibernetic in ultimul timp, atribuirea gresita ar putea sa duca la consecinte serioase, iar autorii din spatele amenintarilor s-ar putea sa inceapa sa manipuleze opinia comunitatii de securitate pentru a influenta agenda geopolitica", explica Vitaly Kamluk, seful APAC Research Team din cadrul Kaspersky.

Cum in spatiul cibernetic, in cazul unei fraude, nu exista prescriptie, cercetarile privind deconspirarea celor din spatele lui Olympic Destroyer vor continua, cu siguranta, iar rezultatele se pot dovedi interesante. Se fac supozitii pe marginea originii atacului si, in ciuda descoperirii de indicii privind "arma crimei", a locurilor de producere a faptelor si a modului de operare, inca se cauta faptasul...