up_icon
Internet Security

OlympicDestroyer malware: Το false flag των Ολυμπιακών αγώνων παραπλανεί τις εταιρείες ασφαλείας

09 Μαρτίου 2018 Yannis Elpidis

OlympicDestroyer malware: Το false flag των Ολυμπιακών αγώνων παραπλανεί τις εταιρείες ασφαλείας

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε τα αποτελέσματα της δικής της έρευνας σχετικά με τις επιθέσεις του κακόβουλου λογισμικού Olympic Destroyer, παρέχοντας τεχνικές αποδείξεις για ένα πολύ εξελιγμένο false flag στο εσωτερικό ενός worm από τον δημιουργό του κακόβουλου λογισμικού, προκειμένου να αποπροσανατολίσει τους κυνηγούς απειλών ώστε να μην αντιληφθούν την πραγματική του προέλευση.


Το Olympic Destroyer worm βρέθηκε στα πρωτοσέλιδα κατά τους χειμερινούς Ολυμπιακούς Αγώνες. Οι Ολυμπιακοί Αγώνες της PyeongChang ήρθαν αντιμέτωποι με μια ψηφιακή επίθεση που παρέλυσε προσωρινά τα συστήματα πληροφορικής πριν την επίσημη τελετή έναρξής τους, κλείνοντας οθόνες προβολής, νεκρώνοντας το Wi-Fi και καταργώντας την ιστοσελίδα των Ολυμπιακών Αγώνων, ώστε οι επισκέπτες να μην μπορούν να εκτυπώσουν εισιτήρια. Η Kaspersky Lab διαπίστωσε επίσης ότι αρκετές εγκαταστάσεις σε χιονοδρομικά κέντρα στη Νότια Κορέα δέχτηκαν επιθέσεις από αυτό το worm, το οποίο απενεργοποίησε τη λειτουργία θυρών και λιφτ στα θέρετρα. Παρόλο που ο πραγματικός αντίκτυπος των επιθέσεων με αυτό το κακόβουλο λογισμικό ήταν περιορισμένος, είχε σαφώς την ικανότητα να είναι καταστροφικό, πράγμα που ευτυχώς δεν συνέβη.

Εντούτοις, το πραγματικό ενδιαφέρον για τον κλάδο της ψηφιακής ασφάλειας δεν έγκειται στη δυνητική ή ακόμη και στην πραγματική ζημία που προκλήθηκε από τις επιθέσεις του Destroyer αλλά στην προέλευση του κακόβουλου λογισμικού. Πιθανότατα σε κανένα άλλο εξελιγμένο κακόβουλο λογισμικό δεν είχαν αποδοθεί τόσες πολλές υποθέσεις όσες στον Olympic Destroyer. Μέσα σε λίγες μέρες από την ανακάλυψή του, ερευνητικές ομάδες από όλο τον κόσμο κατάφεραν να αποδώσουν αυτό το κακόβουλο λογισμικό στη Ρωσία, την Κίνα και τη Βόρειο Κορέα, βασιζόμενοι σε μια σειρά χαρακτηριστικών που έχουν αποδοθεί προηγουμένως σε φορείς ψηφιακής κατασκοπείας και δολιοφθοράς με έδρα τις χώρες αυτές ή που εργάζονται για τις κυβερνήσεις των χωρών αυτών.

Οι ερευνητές της Kaspersky Lab προσπαθούσαν επίσης να καταλάβουν ποια ομάδα hacking ήταν πίσω από αυτό το κακόβουλο λογισμικό. Σε κάποιο σημείο κατά τη διάρκεια της έρευνάς τους, συνάντησαν κάτι που έμοιαζε με 100% αποδεικτικό στοιχείο που συνέδεε το κακόβουλο λογισμικό με την Ομάδα Lazarus  - μια διαβόητη ομάδα που υποστηρίζεται από έθνη-κράτη και συνδέεται με τη Βόρεια Κορέα.

Το συμπέρασμα αυτό βασίστηκε σε ένα μοναδικό ίχνος που άφησαν οι επιτιθέμενοι. Ένας συνδυασμός ορισμένων χαρακτηριστικών του περιβάλλοντος ανάπτυξης κώδικα αποθηκευμένος στα αρχεία μπορεί να χρησιμοποιηθεί ως «δακτυλικό αποτύπωμα», που σε ορισμένες περιπτώσεις προσδιορίζει τους δημιουργούς κακόβουλου λογισμικού και τα έργα τους. Στο δείγμα που αναλύθηκε από την Kaspersky Lab, αυτό το αποτύπωμα έδωσε 100% αντιστοίχιση με παλαιότερα γνωστά στοιχεία του κακόβουλου λογισμικού Lazarus και μηδενική επικάλυψη με οποιοδήποτε άλλο καθαρό ή κακόβουλο αρχείο που είναι γνωστό μέχρι σήμερα στην Kaspersky Lab. Σε συνδυασμό με άλλες ομοιότητες στις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs), οδήγησε τους ερευνητές στο προκαταρκτικό συμπέρασμα ότι το Olympic Destroyer ήταν μια ακόμη επιχείρηση Lazarus. Ωστόσο, τα κίνητρα και άλλες ασυνέπειες με τα TTP Lazarus που αποκαλύφθηκαν κατά τη διάρκεια επιτόπιας έρευνας της Kaspersky Lab στην εγκατάσταση που είχε τεθεί σε κίνδυνο στη Νότια Κορέα, ανάγκασαν τους ερευνητές να επανεξετάσουν το σπάνιο εύρημα.

Έπειτα από προσεκτική εξέταση των αποδεικτικών στοιχείων και χειροκίνητη επαλήθευση κάθε χαρακτηριστικού, οι ερευνητές ανακάλυψαν ότι το σύνολο των χαρακτηριστικών δεν ταιριάζει με τον κώδικα – είχε πλαστογραφηθεί ώστε να ταιριάζει απόλυτα με τα δακτυλικά αποτυπώματα που χρησιμοποιεί η Ομάδα Lazarus.

Ως αποτέλεσμα, οι ερευνητές κατέληξαν στο συμπέρασμα ότι το «δακτυλικό αποτύπωμα» των χαρακτηριστικών είναι ένα πολύ εξελιγμένο false flag που τοποθετείται σκόπιμα στο εσωτερικό του κακόβουλου λογισμικού, προκειμένου να δώσει στους κυνηγούς απειλών την εντύπωση ότι βρήκαν αδιάσειστες αποδείξεις, «βγάζοντάς τους εκτός πορείας» κι εμποδίζοντας τους να πραγματοποιήσουν ακριβέστερη απόδοση.

Όπως δήλωσε ο Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab.

"Κατά την άποψή μας, τα στοιχεία που μπορέσαμε να βρούμε δεν χρησιμοποιήθηκαν στο παρελθόν για απόδοση. Ωστόσο, οι επιτιθέμενοι αποφάσισαν να τα χρησιμοποιήσουν, προβλέποντας ότι κάποιος θα τα βρει. Υπολόγισαν στο γεγονός ότι η πλαστογραφία αυτού του αντικειμένου είναι πολύ δύσκολο να αποδειχθεί. Είναι σαν ένας εγκληματίας να έχει κλέψει το DNA κάποιου άλλου και να το αφήνει σε μια σκηνή εγκλήματος αντί του δικού του. Ανακαλύψαμε και αποδείξαμε ότι το DNA που βρέθηκε στη σκηνή του εγκλήματος τοποθετήθηκε εκεί με σκοπό. Όλα αυτά αποδεικνύουν ότι οι εισβολείς είναι διατεθειμένοι να καταβάλουν μεγάλη προσπάθεια για να παραμείνουν άγνωστοι για όσο το δυνατόν περισσότερο. Πάντα λέγαμε ότι η απόδοση στον κυβερνοχώρο είναι πολύ δύσκολη, καθώς πολλά πράγματα μπορούν να παραποιηθούν, και το Olympic Destroyer είναι μια αρκετά ακριβής εικόνα αυτού του γεγονότος. Άλλο ένα συμπέρασμα που βγάλαμε από αυτή την ιστορία είναι ότι η απόδοση πρέπει να ληφθεί εξαιρετικά σοβαρά. Δεδομένου του πόσο πολιτικοποιημένος είναι πλέον ο κυβερνοχώρος, η λανθασμένη απόδοση θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες και οι φορείς απειλής ενδέχεται να αρχίσουν να προσπαθούν να χειραγωγήσουν τη γνώμη της κοινότητας ασφάλειας για να επηρεάσουν τη γεωπολιτική ατζέντα"

Η ακριβής απόδοση του Olympic Destroyer εξακολουθεί να είναι ανοικτή ερώτηση - απλώς και μόνο επειδή είναι ένα μοναδικό παράδειγμα εφαρμογής πολύ εξελιγμένων false flags. Ωστόσο, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία προστασίας δεδομένων ιδιωτικού απορρήτου NordVPN και έναν πάροχο hosting που ονομάζεται MonoVM, και οι δύο δέχονται Bitcoins. Αυτά και μερικά άλλα ανακαλυφθέντα ΤΤΡs είχαν χρησιμοποιηθεί για πρώτη φορά από τον Sofacy, τον ρωσόφωνο φορέα.

Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία το κακόβουλο πρόγραμμα Olympic Destroyer.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑΣΤΕ
ΣΧΟΛΙΑ
read more

Web browsers: Νέα πτώση για τον Microsoft Edge, κερδίζει κι άλλο έδαφος ο Safari

01 Ιουνίου 2023 Christos Elpidis

Ήρθε στη δημοσιότητα η νέα μηνιαία αναφορά της Statcounter για το μερίδιο που κατέχει ο κάθε web browser στην αγορά, με τον Google Chrome να παραμένει φυσικά με άνεση στην κορυφή τόσο στα desktops, όσο και στις...

Kaspersky: Για την αποτροπή επιθέσεων DDoS σε εκπαιδευτικά ιδρύματα κλειδί η επαρκής προετοιμασία

31 Μαΐου 2023 Techgear Team

Η Kaspersky τοποθετήθηκε με αφορμή τα προβλήματα που προέκυψαν από την πρόσφατη επίθεση DDoS στην Τράπεζα Θεμάτων. Όπως αναφέρει ο Alexander Gutnikov, ειδικός ασφάλειας στην Kaspersky,Οι ψηφιακές επιθέσεις...

Τέλος εποχής: Έκλεισε το RARBG!

31 Μαΐου 2023 Christos Elpidis

Τέλος εποχής για ένα από τα ιστορικότερα torrent sites στον κόσμο, καθώς το RARBG αποχαιρέτησε και επίσημα τους εκατομμύρια επισκέπτες του! Με μια σύντομη ανακοίνωση που αναρτήθηκε στην κεντρική σελίδα, οι ...

Google Flood Hub: Προβλέψεις πλημμύρων και στην Ελλάδα

31 Μαΐου 2023 Techgear Team

Το Flood Hub επεκτείνεται σε 80 χώρες, συμπεριλαμβανομένης της Ελλάδας, παρέχοντας προβλέψεις έως και 7 ημέρες πριν από μια πλημμύρα, σε 460 εκατομμύρια ανθρώπους. Όπως αναφέρεται σε σχετική ανακοίνωση, ...

Επιθέσεις ransomware: Από που ξεκινούν συνήθως

30 Μαΐου 2023 Techgear Team

Μια νέα έκθεση της Kaspersky έδειξε ότι η πλειονότητα των επιθέσεων ransomware το 2022 ξεκίνησε με την εκμετάλλευση public-facing εφαρμογών, λήψη δεδομένων από παραβιασμένους λογαριασμούς χρηστών και κακόβουλα ...

Πέντε απλές στρατηγικές για να μείνετε κάτω από το ραντάρ στο διαδίκτυο

29 Μαΐου 2023 Techgear Team

Πόσες φορές χρειάστηκε να δώσετε τη διεύθυνση του email σας ή τον αριθμό του τηλεφώνου σας για να εγγραφείτε σε μια ηλεκτρονική υπηρεσία, να αποκτήσετε πρόσβαση σε κάποια ιστοσελίδα ή κάποια εφαρμογή, για να ...

Τέλος για τα YouTube Stories, το βάρος στα Community posts και τα YouTube Shorts

26 Μαΐου 2023 Christos Elpidis

Με το βάρος να έχει πείσει, φυσιολογικά, στα YouTube Shorts, ήταν αναμενόμενο ότι η Google θα προχωρούσε σε ορισμένες αλλαγές στη δημοφιλή υπηρεσία για να μην υπερφορτώνονται οι servers της και μπερδεύονται οι ...

Google: Ξεκίνησε το λανσάρισμα του νέου τρόπου αναζήτησης μέσω AI

26 Μαΐου 2023 Christos Elpidis

Από τις σημαντικότερες ανακοινώσεις της Google στο πρόσφατο συνέδριο Google I/O 2023 ήταν η νέα προσέγγιση στον τρόπο αναζήτησης μέσα από το Google Search, η οποία είναι αφήνει στην άκρη τα κλασικά links και ...

Deepfake: Τα τρία απειλητικά σενάρια που αντιμετωπίζουν οι χρήστες το 2023

25 Μαΐου 2023 Techgear Team

Σύμφωνα με το Παγκόσμιο Οικονομικό Φόρουμ (WEF), o αριθμός των deepfake βίντεο στο διαδίκτυο αυξάνεται ετησίως περίπου κατά 900%. Πολλές περιπτώσεις απάτης μέσω deepfake έχουν πάρει μεγάλη δημοσιότητα, με τις ...

Η Microsoft ενσωματώνει τη μηχανή αναζήτησης Bing στο ChatGPT!

24 Μαΐου 2023 Christos Elpidis

Το ChatGPT δεν χρειάζεται πλέον να βασίζεται σε δικά του μοντέλα ή plugins για να παρέχει πληροφορίες στους χρήστες: Η Microsoft ανακοίνωσε στο συνέδριο BUILD 2023 ότι το Bing Search ενσωματώνεται στο ChatGPT ...

Loader
please wait
techgear_icon