up_icon
Internet Security

OlympicDestroyer malware: Το false flag των Ολυμπιακών αγώνων παραπλανεί τις εταιρείες ασφαλείας

09 Μαρτίου 2018 Yannis Elpidis

OlympicDestroyer malware: Το false flag των Ολυμπιακών αγώνων παραπλανεί τις εταιρείες ασφαλείας

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε τα αποτελέσματα της δικής της έρευνας σχετικά με τις επιθέσεις του κακόβουλου λογισμικού Olympic Destroyer, παρέχοντας τεχνικές αποδείξεις για ένα πολύ εξελιγμένο false flag στο εσωτερικό ενός worm από τον δημιουργό του κακόβουλου λογισμικού, προκειμένου να αποπροσανατολίσει τους κυνηγούς απειλών ώστε να μην αντιληφθούν την πραγματική του προέλευση.


Το Olympic Destroyer worm βρέθηκε στα πρωτοσέλιδα κατά τους χειμερινούς Ολυμπιακούς Αγώνες. Οι Ολυμπιακοί Αγώνες της PyeongChang ήρθαν αντιμέτωποι με μια ψηφιακή επίθεση που παρέλυσε προσωρινά τα συστήματα πληροφορικής πριν την επίσημη τελετή έναρξής τους, κλείνοντας οθόνες προβολής, νεκρώνοντας το Wi-Fi και καταργώντας την ιστοσελίδα των Ολυμπιακών Αγώνων, ώστε οι επισκέπτες να μην μπορούν να εκτυπώσουν εισιτήρια. Η Kaspersky Lab διαπίστωσε επίσης ότι αρκετές εγκαταστάσεις σε χιονοδρομικά κέντρα στη Νότια Κορέα δέχτηκαν επιθέσεις από αυτό το worm, το οποίο απενεργοποίησε τη λειτουργία θυρών και λιφτ στα θέρετρα. Παρόλο που ο πραγματικός αντίκτυπος των επιθέσεων με αυτό το κακόβουλο λογισμικό ήταν περιορισμένος, είχε σαφώς την ικανότητα να είναι καταστροφικό, πράγμα που ευτυχώς δεν συνέβη.

Εντούτοις, το πραγματικό ενδιαφέρον για τον κλάδο της ψηφιακής ασφάλειας δεν έγκειται στη δυνητική ή ακόμη και στην πραγματική ζημία που προκλήθηκε από τις επιθέσεις του Destroyer αλλά στην προέλευση του κακόβουλου λογισμικού. Πιθανότατα σε κανένα άλλο εξελιγμένο κακόβουλο λογισμικό δεν είχαν αποδοθεί τόσες πολλές υποθέσεις όσες στον Olympic Destroyer. Μέσα σε λίγες μέρες από την ανακάλυψή του, ερευνητικές ομάδες από όλο τον κόσμο κατάφεραν να αποδώσουν αυτό το κακόβουλο λογισμικό στη Ρωσία, την Κίνα και τη Βόρειο Κορέα, βασιζόμενοι σε μια σειρά χαρακτηριστικών που έχουν αποδοθεί προηγουμένως σε φορείς ψηφιακής κατασκοπείας και δολιοφθοράς με έδρα τις χώρες αυτές ή που εργάζονται για τις κυβερνήσεις των χωρών αυτών.

Οι ερευνητές της Kaspersky Lab προσπαθούσαν επίσης να καταλάβουν ποια ομάδα hacking ήταν πίσω από αυτό το κακόβουλο λογισμικό. Σε κάποιο σημείο κατά τη διάρκεια της έρευνάς τους, συνάντησαν κάτι που έμοιαζε με 100% αποδεικτικό στοιχείο που συνέδεε το κακόβουλο λογισμικό με την Ομάδα Lazarus  - μια διαβόητη ομάδα που υποστηρίζεται από έθνη-κράτη και συνδέεται με τη Βόρεια Κορέα.

Το συμπέρασμα αυτό βασίστηκε σε ένα μοναδικό ίχνος που άφησαν οι επιτιθέμενοι. Ένας συνδυασμός ορισμένων χαρακτηριστικών του περιβάλλοντος ανάπτυξης κώδικα αποθηκευμένος στα αρχεία μπορεί να χρησιμοποιηθεί ως «δακτυλικό αποτύπωμα», που σε ορισμένες περιπτώσεις προσδιορίζει τους δημιουργούς κακόβουλου λογισμικού και τα έργα τους. Στο δείγμα που αναλύθηκε από την Kaspersky Lab, αυτό το αποτύπωμα έδωσε 100% αντιστοίχιση με παλαιότερα γνωστά στοιχεία του κακόβουλου λογισμικού Lazarus και μηδενική επικάλυψη με οποιοδήποτε άλλο καθαρό ή κακόβουλο αρχείο που είναι γνωστό μέχρι σήμερα στην Kaspersky Lab. Σε συνδυασμό με άλλες ομοιότητες στις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs), οδήγησε τους ερευνητές στο προκαταρκτικό συμπέρασμα ότι το Olympic Destroyer ήταν μια ακόμη επιχείρηση Lazarus. Ωστόσο, τα κίνητρα και άλλες ασυνέπειες με τα TTP Lazarus που αποκαλύφθηκαν κατά τη διάρκεια επιτόπιας έρευνας της Kaspersky Lab στην εγκατάσταση που είχε τεθεί σε κίνδυνο στη Νότια Κορέα, ανάγκασαν τους ερευνητές να επανεξετάσουν το σπάνιο εύρημα.

Έπειτα από προσεκτική εξέταση των αποδεικτικών στοιχείων και χειροκίνητη επαλήθευση κάθε χαρακτηριστικού, οι ερευνητές ανακάλυψαν ότι το σύνολο των χαρακτηριστικών δεν ταιριάζει με τον κώδικα – είχε πλαστογραφηθεί ώστε να ταιριάζει απόλυτα με τα δακτυλικά αποτυπώματα που χρησιμοποιεί η Ομάδα Lazarus.

Ως αποτέλεσμα, οι ερευνητές κατέληξαν στο συμπέρασμα ότι το «δακτυλικό αποτύπωμα» των χαρακτηριστικών είναι ένα πολύ εξελιγμένο false flag που τοποθετείται σκόπιμα στο εσωτερικό του κακόβουλου λογισμικού, προκειμένου να δώσει στους κυνηγούς απειλών την εντύπωση ότι βρήκαν αδιάσειστες αποδείξεις, «βγάζοντάς τους εκτός πορείας» κι εμποδίζοντας τους να πραγματοποιήσουν ακριβέστερη απόδοση.

Όπως δήλωσε ο Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab.

"Κατά την άποψή μας, τα στοιχεία που μπορέσαμε να βρούμε δεν χρησιμοποιήθηκαν στο παρελθόν για απόδοση. Ωστόσο, οι επιτιθέμενοι αποφάσισαν να τα χρησιμοποιήσουν, προβλέποντας ότι κάποιος θα τα βρει. Υπολόγισαν στο γεγονός ότι η πλαστογραφία αυτού του αντικειμένου είναι πολύ δύσκολο να αποδειχθεί. Είναι σαν ένας εγκληματίας να έχει κλέψει το DNA κάποιου άλλου και να το αφήνει σε μια σκηνή εγκλήματος αντί του δικού του. Ανακαλύψαμε και αποδείξαμε ότι το DNA που βρέθηκε στη σκηνή του εγκλήματος τοποθετήθηκε εκεί με σκοπό. Όλα αυτά αποδεικνύουν ότι οι εισβολείς είναι διατεθειμένοι να καταβάλουν μεγάλη προσπάθεια για να παραμείνουν άγνωστοι για όσο το δυνατόν περισσότερο. Πάντα λέγαμε ότι η απόδοση στον κυβερνοχώρο είναι πολύ δύσκολη, καθώς πολλά πράγματα μπορούν να παραποιηθούν, και το Olympic Destroyer είναι μια αρκετά ακριβής εικόνα αυτού του γεγονότος. Άλλο ένα συμπέρασμα που βγάλαμε από αυτή την ιστορία είναι ότι η απόδοση πρέπει να ληφθεί εξαιρετικά σοβαρά. Δεδομένου του πόσο πολιτικοποιημένος είναι πλέον ο κυβερνοχώρος, η λανθασμένη απόδοση θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες και οι φορείς απειλής ενδέχεται να αρχίσουν να προσπαθούν να χειραγωγήσουν τη γνώμη της κοινότητας ασφάλειας για να επηρεάσουν τη γεωπολιτική ατζέντα"

Η ακριβής απόδοση του Olympic Destroyer εξακολουθεί να είναι ανοικτή ερώτηση - απλώς και μόνο επειδή είναι ένα μοναδικό παράδειγμα εφαρμογής πολύ εξελιγμένων false flags. Ωστόσο, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία προστασίας δεδομένων ιδιωτικού απορρήτου NordVPN και έναν πάροχο hosting που ονομάζεται MonoVM, και οι δύο δέχονται Bitcoins. Αυτά και μερικά άλλα ανακαλυφθέντα ΤΤΡs είχαν χρησιμοποιηθεί για πρώτη φορά από τον Sofacy, τον ρωσόφωνο φορέα.

Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία το κακόβουλο πρόγραμμα Olympic Destroyer.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑΣΤΕ
ΣΧΟΛΙΑ
read more

TikTok: Ξεκίνησε δοκιμές εμφάνισης αποτελεσμάτων αναζήτησης από το Google Search

22 Σεπτεμβρίου 2023 Christos Elpidis

Όπως συνέβαινε κάποτε με το Facebook, έτσι και τώρα η ιστορία επαναλαμβάνεται με το TikTok, από την άποψη ότι πολύς κόσμος το χρησιμοποιεί και ως μηχανή αναζήτησης για τα θέματα που τον ενδιαφέρουν. Γι’ αυτό ...

Η Trend Micro συνεργάζεται με την INTERPOL για την εξάρθρωση επιχείρησης phising

21 Σεπτεμβρίου 2023 Techgear Team

Η Trend Micro ανακοινώνει ότι η στενή συνεργασία της με την Διεθνή Οργάνωση Εγκληματολογικής Αστυνομίας, γνωστή ως INTERPOL, οδήγησε σε ακόμη μια σημαντική νίκη, μετά την εξάρθρωση επιχείρησης με λειτουργία ...

Google Bard: Ενσωματώνεται στα Maps, YouTube, Drive, Docs, Flights και Gmail

19 Σεπτεμβρίου 2023 Christos Elpidis

Η Google επεκτείνει την λειτουργικότητα του AI εργαλείου Google Bard σε περισσότερες υπηρεσίες της, καθώς οι χρήστες θα μπορούν να το ενεργοποιήσουν στα Gmail, Docs, Maps, YouTube, Google Flights και Drive ...

ΑΑΔΕ: Νέο μνημόνιο συνεργασίας με τις ψηφιακές πλατφόρμες Airbnb, Booking και Expedia Group/VRBO

19 Σεπτεμβρίου 2023 Techgear Team

Η Ανεξάρτητη Αρχή Δημοσίων Εσόδων, σε συνεχή εποικοδομητικό διάλογο με τις δημοφιλείς πλατφόρμες Βραχυχρόνιας Μίσθωσης Airbnb, Booking.com και Expedia Group/VRBO, υπέγραψε επικαιροποιημένο Μνημόνιο Συνεργασίας....

Τι αναζήτησαν τα παιδιά στο διαδίκτυο φέτος το καλοκαίρι

19 Σεπτεμβρίου 2023 Techgear Team

Μια νέα μελέτη του Kaspersky Safe Kids ανέδειξε το περιεχόμενο του YouTube που επικράτησε στις προτιμήσεις των παιδιών κατά το διάστημα Ιούνιος - Αύγουστος 2023. Η σειρά κινουμένων σχεδίων Skibidi Toilet ...

Στην Ελλάδα ένα από τα υψηλότερα ποσοστά πειρατείας ζωντανών αθλητικών διοργανώσεων

19 Σεπτεμβρίου 2023 Techgear Team

Σύμφωνα με έκθεση που δημοσιεύθηκε σήμερα από το Γραφείο Διανοητικής Ιδιοκτησίας της Ευρωπαϊκής Ένωσης (EUIPO) αποκαλύπτεται ότι η ψηφιακή πειρατεία αυξήθηκε κατά 3,3 % το 2022. Η αύξηση συνδέεται σε μεγάλο ...

10 βήματα που μπορείτε να ακολουθήσετε αφού κάνετε κλικ σε έναν σύνδεσμο ηλεκτρονικού ψαρέματος

19 Σεπτεμβρίου 2023 Techgear Team

Μπορεί να αισθανθείτε ντροπή ή ακόμα και ανησυχία αν τσιμπήσετε το δόλωμα και κάνετε κλικ σε έναν σύνδεσμο ηλεκτρονικού "ψαρέματος", αλλά αυτού του είδους οι απειλές είναι όλο και πιο συνηθισμένες. Στην ...

BlueMed: Σε λειτουργία ο νέος αγωγός δεδομένων που θα περάσει και από Ελλάδα

18 Σεπτεμβρίου 2023 Techgear Team

Η Sparkle, ο μεγαλύτερος διεθνής πάροχος τηλεπικοινωνιακών υπηρεσιών διασύνδεσης στην Ιταλία και μεταξύ των δέκα κορυφαίων παγκοσμίως, ανακοινώνει την ενεργοποίηση του υποβρύχιου καλωδίου BlueMed που συνδέει το...

Σοβαρό κενό ασφαλείας επηρεάζει εκατομμύρια ιστοσελίδες και δημοφιλείς εφαρμογές

15 Σεπτεμβρίου 2023 Christos Elpidis

Ένα πολύ σημαντικό κενό ασφαλείας εντόπισε ο ερευνητής Alex Ivanovs, το οποίο αφορά τις εικόνες σε WebP format που συναντάμε στην πλειοψηφία των ιστοσελίδων και των εφαρμογών. Λόγω αυτού του προβλήματος, οι ...

iMessage: Για την ώρα δεν υποχρεώνεται να υιοθετήσει το πρότυπο RCS

11 Σεπτεμβρίου 2023 Christos Elpidis

Η ΕΕ προχώρησε την περασμένη εβδομάδα στον χαρακτηρισμό των Big Tech εταιρειών και των πλατφορμών τους ως gatekeepers λόγω της εφαρμογής του νομοσχεδίου Digital Markets Act (DMA). Για να φρεσκάρουμε την μνήμη...

Loader
please wait
techgear_icon