Η Kaspersky αναλύει τις επιθέσεις του κακόβουλου λογισμικού Olympic Destroyer

by George Polyzos • On 09-03-2018 • AT 12:37 pm • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

Το false flag των Ολυμπιακών αγώνων: Πώς το διαβόητο κακόβουλο λογισμικό Olympic Destroyer σχεδιάστηκε για να παραπλανήσει την κοινότητα ψηφιακής ασφάλειας.

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε τα αποτελέσματα της δικής της έρευνας σχετικά με τις επιθέσεις του κακόβουλου λογισμικού Olympic Destroyer, παρέχοντας τεχνικές αποδείξεις για ένα πολύ εξελιγμένο false flag στο εσωτερικό ενός worm από τον δημιουργό του κακόβουλου λογισμικού, προκειμένου να αποπροσανατολίσει τους κυνηγούς απειλών ώστε να μην αντιληφθούν την πραγματική του προέλευση.

Το Olympic Destroyer worm βρέθηκε στα πρωτοσέλιδα κατά τους χειμερινούς Ολυμπιακούς Αγώνες. Οι Ολυμπιακοί Αγώνες της PyeongChang ήρθαν αντιμέτωποι με μια ψηφιακή επίθεση που παρέλυσε προσωρινά τα συστήματα πληροφορικής πριν την επίσημη τελετή έναρξής τους, κλείνοντας οθόνες προβολής, νεκρώνοντας το Wi-Fi και καταργώντας την ιστοσελίδα των Ολυμπιακών Αγώνων, ώστε οι επισκέπτες να μην μπορούν να εκτυπώσουν εισιτήρια. Η Kaspersky Lab διαπίστωσε επίσης ότι αρκετές εγκαταστάσεις σε χιονοδρομικά κέντρα στη Νότια Κορέα δέχτηκαν επιθέσεις από αυτό το worm, το οποίο απενεργοποίησε τη λειτουργία θυρών και λιφτ στα θέρετρα. Παρόλο που ο πραγματικός αντίκτυπος των επιθέσεων με αυτό το κακόβουλο λογισμικό ήταν περιορισμένος, είχε σαφώς την ικανότητα να είναι καταστροφικό, πράγμα που ευτυχώς δεν συνέβη.

Εντούτοις, το πραγματικό ενδιαφέρον για τον κλάδο της ψηφιακής ασφάλειας δεν έγκειται στη δυνητική ή ακόμη και στην πραγματική ζημία που προκλήθηκε από τις επιθέσεις του Destroyer αλλά στην προέλευση του κακόβουλου λογισμικού. Πιθανότατα σε κανένα άλλο εξελιγμένο κακόβουλο λογισμικό δεν είχαν αποδοθεί τόσες πολλές υποθέσεις όσες στον Olympic Destroyer. Μέσα σε λίγες μέρες από την ανακάλυψή του, ερευνητικές ομάδες από όλο τον κόσμο κατάφεραν να αποδώσουν αυτό το κακόβουλο λογισμικό στη Ρωσία, την Κίνα και τη Βόρειο Κορέα, βασιζόμενοι σε μια σειρά χαρακτηριστικών που έχουν αποδοθεί προηγουμένως σε φορείς ψηφιακής κατασκοπείας και δολιοφθοράς με έδρα τις χώρες αυτές ή που εργάζονται για τις κυβερνήσεις των χωρών αυτών.

Οι ερευνητές της Kaspersky Lab προσπαθούσαν επίσης να καταλάβουν ποια ομάδα hacking ήταν πίσω από αυτό το κακόβουλο λογισμικό. Σε κάποιο σημείο κατά τη διάρκεια της έρευνάς τους, συνάντησαν κάτι που έμοιαζε με 100% αποδεικτικό στοιχείο που συνέδεε το κακόβουλο λογισμικό με την Ομάδα Lazarus – μια διαβόητη ομάδα που υποστηρίζεται από έθνη-κράτη και συνδέεται με τη Βόρεια Κορέα.

Το συμπέρασμα αυτό βασίστηκε σε ένα μοναδικό ίχνος που άφησαν οι επιτιθέμενοι. Ένας συνδυασμός ορισμένων χαρακτηριστικών του περιβάλλοντος ανάπτυξης κώδικα αποθηκευμένος στα αρχεία μπορεί να χρησιμοποιηθεί ως «δακτυλικό αποτύπωμα», που σε ορισμένες περιπτώσεις προσδιορίζει τους δημιουργούς κακόβουλου λογισμικού και τα έργα τους. Στο δείγμα που αναλύθηκε από την Kaspersky Lab, αυτό το αποτύπωμα έδωσε 100% αντιστοίχιση με παλαιότερα γνωστά στοιχεία του κακόβουλου λογισμικού Lazarus και μηδενική επικάλυψη με οποιοδήποτε άλλο καθαρό ή κακόβουλο αρχείο που είναι γνωστό μέχρι σήμερα στην Kaspersky Lab. Σε συνδυασμό με άλλες ομοιότητες στις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs), οδήγησε τους ερευνητές στο προκαταρκτικό συμπέρασμα ότι το Olympic Destroyer ήταν μια ακόμη επιχείρηση Lazarus. Ωστόσο, τα κίνητρα και άλλες ασυνέπειες με τα TTP Lazarus που αποκαλύφθηκαν κατά τη διάρκεια επιτόπιας έρευνας της Kaspersky Lab στην εγκατάσταση που είχε τεθεί σε κίνδυνο στη Νότια Κορέα, ανάγκασαν τους ερευνητές να επανεξετάσουν το σπάνιο εύρημα.

Έπειτα από προσεκτική εξέταση των αποδεικτικών στοιχείων και χειροκίνητη επαλήθευση κάθε χαρακτηριστικού, οι ερευνητές ανακάλυψαν ότι το σύνολο των χαρακτηριστικών δεν ταιριάζει με τον κώδικα – είχε πλαστογραφηθεί ώστε να ταιριάζει απόλυτα με τα δακτυλικά αποτυπώματα που χρησιμοποιεί η Ομάδα Lazarus.

Ως αποτέλεσμα, οι ερευνητές κατέληξαν στο συμπέρασμα ότι το «δακτυλικό αποτύπωμα» των χαρακτηριστικών είναι ένα πολύ εξελιγμένο false flag που τοποθετείται σκόπιμα στο εσωτερικό του κακόβουλου λογισμικού, προκειμένου να δώσει στους κυνηγούς απειλών την εντύπωση ότι βρήκαν αδιάσειστες αποδείξεις, «βγάζοντάς τους εκτός πορείας» κι εμποδίζοντας τους να πραγματοποιήσουν ακριβέστερη απόδοση.

Η ακριβής απόδοση του Olympic Destroyer εξακολουθεί να είναι ανοικτή ερώτηση – απλώς και μόνο επειδή είναι ένα μοναδικό παράδειγμα εφαρμογής πολύ εξελιγμένων false flags. Ωστόσο, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία προστασίας δεδομένων ιδιωτικού απορρήτου NordVPN και έναν πάροχο hosting που ονομάζεται MonoVM, και οι δύο δέχονται Bitcoins. Αυτά και μερικά άλλα ανακαλυφθέντα ΤΤΡs είχαν χρησιμοποιηθεί για πρώτη φορά από τον Sofacy, τον ρωσόφωνο φορέα.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

ΠΕΣ ΤΗΝ ΓΝΩΜΗ ΣΟΥ

Your email address will not be published. Required fields are marked *

ΑΠΟΣΤΟΛΗ

Top

Show Buttons
Hide Buttons