Olympic Destroyer расширяет сферу интересов
КиберБезопасникПохоже, что Olympic Destroyer — изощренная APT-угроза, пытавшаяся саботировать зимние Олимпийские игры 2018 года в Южной Корее — снова с нами. Недавно эксперты «Лаборатории Касперского» обнаружили следы похожей активности, но в этот раз нацеленной на финансовые организации в России и на лаборатории по предотвращению биологических и химических угроз в Нидерландах, Германии, Франции, Швейцарии и на Украине.
В чем опасность?
Оригинальный Olympic Destroyer использовал изощренные способы маскировки.
- Во-первых, авторы составили весьма убедительные подложные документы, в которых был спрятан зловред.
- Во-вторых, они не поскупились на механизмы обфускации, чтобы скрыть вредоносный код от защитных решений.
Наконец, самое интересное: злоумышленники добавили множество ложных улик, чтобы специалистам было сложнее проанализировать атаку и установить ее авторов.
Сейчас в руки экспертов попали новые документы для целевого фишинга, боевая нагрузка которых напоминает ту, что мы видели в исходном Olympic Destroyer. Признаков распространения червя пока нет, но поддельные документы могут быть частью разведывательного этапа операции (зимняя кибердиверсия тоже предварялась прощупыванием почвы в 2017 году).
Новые интересы
Главное отличие свежей реинкарнации Olympic Destroyer — сфера интересов. Эксперты проанализировали подставные письма и прошли к выводу, что в этот раз злоумышленники пытаются внедрить свои вредоносы в лаборатории по анализу биологических и химических угроз. В перечне их целей также оказались российские финансовые учреждения, но пока неясно, действительно ли операторы атаки хотят разжиться деньгами или это очередной отвлекающий маневр.
Помимо замаскированных вредоносных скриптов документы содержат упоминания Spiez Convergence (швейцарской конференции по исследованию биохимических угроз), нервно-паралитического вещества, которым предположительно отравили Сергея Скрипаля и его дочь в Солсбери, а также указов Министерства здравоохранения Украины.
Риски для вашего бизнеса
Когда речь идет о фишинговых угрозах, обычно мы в первую очередь советуем не открывать подозрительные вложения.
К сожалению, в этот раз такая рекомендация бесполезна: в текущей кампании целевого фишинга документы не вызывают подозрений, поскольку злоумышленники составляют каждый из них так, чтобы заинтересовать конкретную жертву.