Kolejne ataki Olympic Destroyer w Europie

Autor opublikowano 21/06/2018 11:41
Olympic Destroyer

Badacze z Kaspersky Lab monitorujący zagrożenie Olympic Destroyer, znane z ataku związanego z otwarciem Zimowych Igrzysk Olimpijskich w Pjongczangu, w którym wykorzystano destrukcyjnego robaka sieciowego, odkryli, że odpowiedzialne za ten atak ugrupowanie cyberprzestępcze jest nadal aktywne. Wyniki badania wskazują, że celem są Niemcy, Francja, Szwajcaria, Holandia, Ukraina oraz Rosja, w szczególności organizacje zajmujące się ochroną przed zagrożeniami chemicznymi i biologicznymi.

Olympic Destroyer to zaawansowane cyberzagrożenie, które uderzyło w organizacje, dostawców oraz partnerów Zimowych Igrzysk Olimpijskich 2018 w Pjongczangu, w Korei Południowej, stosując operację sabotażu opartą na destrukcyjnym robaku sieciowym. Ślady wskazywały na różne kierunki źródła ataku, wywołując pewne zamieszanie w branży bezpieczeństwa IT w lutym 2018 r. Kilka rzadkich i wyrafinowanych tropów odkrytych przez Kaspersky Lab sugerowało, że za całą operacją stało ugrupowanie Lazarus, które ma powiązania z Koreą Północną. Jednak w marcu firma potwierdziła, że kampania ta stanowiła misterną i przekonującą operację pod tzw. fałszywą banderą, której nie można przypisać ugrupowaniu Lazarus. Obecnie badacze ustalili, stosując własny zestaw narzędzi do infiltracji i rekonesansu, że operacja Olympic Destroyer została wznowiona i koncentruje się na celach w Europie.

Ugrupowanie rozprzestrzenia swoje szkodliwe oprogramowanie za pośrednictwem dokumentów typowych dla phishingu ukierunkowanego (spear-phishing), które przypominają dokumenty wykorzystane podczas przygotowań do operacji związanej z igrzyskami zimowymi. Jeden z takich dokumentów o charakterze przynęty nawiązywał do „Spiez Convergence”, konferencji dot. zagrożeń biochemicznych, która została zorganizowana w Szwajcarii przez Spiez Laboratory – organizację, która odegrała kluczową rolę w dochodzeniu w związku z atakiem w Salisbury. Inny dokument był wymierzony w jednostkę ukraińskiego organu ds. zdrowia i kontroli weterynaryjnej. Niektóre z wykrytych przez badaczy dokumentów phishingowych zawierają słowa w języku rosyjskim i niemieckim.

Wszystkie ostateczne funkcje szkodliwe wyodrębnione z dokumentów stosowanych podczas ataku miały na celu zapewnienie zdalnego dostępu do zainfekowanych komputerów. W drugim etapie ataku wykorzystano darmowe rozwiązanie, powszechnie znane jako Powershell Empire.

Atakujący wykorzystują zhakowane legalne serwery WWW w celu przechowywania i kontrolowania szkodliwego oprogramowania. Serwery te wykorzystują popularny, oparty na otwartym źródle system do zarządzania treścią (CMS) o nazwie Joomla. Badacze ustalili, że jeden z serwerów przechowujący szkodliwą funkcję wykorzystał w listopadzie system Joomla w wersji 1.7.3, co sugeruje, że do zhakowania serwerów przestępcy mogli wykorzystać bardzo przestarzały wariant systemu CMS.

Na podstawie telemetrii Kaspersky Lab oraz plików przesłanych do serwisów oferujących wiele skanerów antywirusowych wydaje się, że celem kampanii Olympic Destroyer były podmioty w Niemczech, Francji, Szwajcarii Holandii, na Ukrainie oraz w Rosji.

Pojawienie się na początku tego roku szkodnika Olympic Destroyer, który stosuje wyrafinowane oszustwa, pokazało, jak łatwo jest popełnić błąd, w przypadku gdy badacze widzą jedynie fragmenty obrazu. Analiza tych zagrożeń oraz działania odstraszające powinny opierać się na współpracy pomiędzy sektorem prywatnym a rządami różnych państw. Mamy nadzieję, że dzięki upublicznieniu naszych wyników osoby odpowiedzialne za reagowanie na incydenty oraz badacze bezpieczeństwa będą lepiej przygotowani do rozpoznania i złagodzenia takiego ataku na dowolnym etapie w przyszłości – powiedział Witalij Kamliuk, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

W poprzednim ataku podczas zimowych igrzysk olimpijskich początek etapu rekonesansu miał miejsce kilka miesięcy przed epidemią samodzielnie modyfikującego się destrukcyjnego robaka sieciowego. Istnieje duże prawdopodobieństwo, że cybergang Olympic Destroyer przygotowuje podobny atak, mając nowe motywy. Z tego powodu zalecamy podmiotom zajmującym się badaniem zagrożeń biologicznych i chemicznych, aby zachowały czujność i w miarę możliwości przeprowadziły audyty pozaplanowe.

Źródło: Kaspersky Lab

Błąd w pisowni? Powiadom nas o tym zaznaczając błędny tekst w artykule, a następnie wciśnij Ctrl+Enter.

 

Zaciekawiony światem nowości technologicznych. Twardo stąpający po ziemi fan gadżetów i marki Xiaomi.

Najnowsze posty

blokada smartfona

Co drugi Polak nie wie co to blokada smartfona!

Ponad połowa użytkowników z Polski (57%) nadal nie chroni w żaden sposób swoich urządzeń mobilnych, a tylko 20% korzysta z

Promocja Mi Band 3

Xiaomi sprzedało ponad milion Mi Band 3 w zaledwie 17 dni

Zaledwie 17 dni wystarczyło, aby długo wyczekiwana opaska Mi Band 3 została sprzedana w ponad miliona egzemplarzy. Wynikiem sprzedaży pochwaliła

LG GK750F

Mistrzowie Polski w CS:GO, oficjalnie zaprezentowali monitory LG GK750F

AGO Esports, aktualni mistrzowie Polski w CS:GO, przy współpracy z LG Electronics Polska oficjalnie zaprezentowali monitory LG GK750F, które pomagają

wtyczka kradnie dane

Uwaga na tę wtyczkę do przeglądarki Chrome! Kradnie dane finansowe!

Pod koniec kwietnia 2018 r. produkty Kaspersky Lab zaczęły wykrywać rozszerzenie do przeglądarki Google Chrome o nazwie „Desbloquear Conteúdo” („odblokuj

nielegalne oprogramowanie

Korzystanie z nielegalnego oprogramowania spadło w Polsce do 46%

Aby zmniejszyć ryzyko cyberataków i zwiększyć zyski, firmy powinny wyeliminować nielicencjonowane oprogramowanie wykorzystywane w swoich sieciach i wprowadzić rozwiązania w

Play 4G LTE ULTRA

Użytkownicy Play mogą cieszyć się z 4G LTE ULTRA

Kolejna taka okazja, kiedy mogę Wam napisać o nowych miejscowościach objętych naszym fioletowym zasięgiem. W ramach 4G LTE znajduje się 94% a w ramach 4G

zagrożenia hotspotów

Kaspersky Lab informuje o zagrożeniach hotspotów Wi-Fi w miastach

Z badania firmy Kaspersky Lab wynika, że 7 176 na około 32 000 publicznych sieci Wi-Fi w miastach, w których

Spelling error report

The following text will be sent to our editors: