Olympic Destroyer: кто взломал Олимпиаду?

Когда-то давно на время Олимпийских игр страны-участники останавливали войны и откладывали политические споры. Сейчас все чаще происходит наоборот. Вот и зимняя Олимпиада в Пхёнчхане началась со скандала: неизвестные атаковали ее серверы прямо перед открытием, и многие гости не смогли попасть на церемонию — не удалось распечатать билеты.

В результате атаки зловреда, получившего громкое имя Olympic Destroyer, были выведены из строя официальный сайт Олимпиады и сеть Wi-Fi на стадионе, также атака помешала прямой трансляции мероприятия. В оргкомитете уверяли, что серьезных последствий это не повлекло, но шум все равно поднялся нешуточный. Поэтому очень интересно было разобраться, что же именно повлекло эти последствия и кто за этим стоит.

Как устроен Olympic Destroyer.

С точки зрения механизма распространения Olympic Destroyer — сетевой червь.

Червь. Не стоит путать с вирусом: червь не заражает собой другие файлы. Вместо этого он устанавливается на компьютер жертвы, а затем ищет способ распространения на другие машины.

Всего эксперты обнаружили не менее трех площадок, которые были заражены изначально и использовались для дальнейшего распространения червя: это pyeongchang2018.com, серверы сети лыжных курортов и серверы компании Atos, поставщика IT-услуг.

С этих площадок червь автоматически распространялся по сети через механизм совместного доступа к файлам Windows. Попутно он воровал с зараженных компьютеров сохраненные пароли, дописывал их в себя и использовал для дальнейшего распространения. Конечной целью Olympic Destroyer было уничтожение файлов на сетевых дисках, до которых червь мог дотянуться с зараженного компьютера, и последующий вывод системы из строя.

Кто же испортил праздник?

Журналисты и блогеры утонули в догадках, кто и зачем попытался сорвать церемонию открытия Игр. Северную Корею начали подозревать еще до начала соревнований: оттуда якобы шпионили за компьютерами оргкомитета.

Затем, естественно, подумали на русских: ведь именно нашу команду допустили к участию в состязаниях не полным составом, с рядом жестких ограничений, к тому же запретив национальную символику. А когда исследователи усмотрели сходство вредоносной программы с продукцией китайских киберпреступников, подозрения переключились на Поднебесную.

Пока широкая публика строила гипотезы, специалисты по кибербезопасности продолжали искать улики. «Лаборатория Касперского» провела собственное расследование.

Сперва, как и многие, эксперты подозревали северокорейских киберпреступников, а именно группировку Lazarus. Исследовав образец Olympic Destroyer, специалисты нашли в нем ряд цифровых «отпечатков пальцев», прямо указывающих на авторство Lazarus.

Однако по мере того как эксперты копали вглубь, они находили все больше нестыковок. После тщательной перепроверки всех найденных «вещдоков» и еще более пристального изучения кода они поняли: то, что казалось неопровержимыми уликами, на самом деле — искусная подделка.

Помимо всего прочего, в процессе изучения Olympic Destroyer эксперты обнаружили ряд улик, указывающих на совсем другого автора — русскоязычную хакерскую группировку Sofacy (также известную как APT28 и Fancy Bear).

Однако мы не можем исключать вероятность того, что и эти улики, в свою очередь, также являются подделкой.

Когда речь заходит о кибершпионаже «на высшем уровне», ни в чем нельзя быть уверенным на 100%.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.