Az Olympic Destroyer visszatért

A Kaspersky Lab kutatói, akik az Olympic Destroyer nevŇĪ kibercsapdát azonosították a Téli Olimpiai Játékok idején úgy látják, hogy a pusztító fertŇĎzés mögött álló hekkercsapat még mindig aktív. Úgy tŇĪnik támadásaik célpontjai most Németországban, Franciaországban, Svájcban, Hollandiában, Ukrajnában és Oroszországban lévŇĎ vegyi- és biológiai veszélyekkel szemben érintett szervezetekre irányul.

Az Olympic Destroyer egy olyan fejlett kiberfenyegetés, amely a 2018-as Téli Olimpiai Játékok szervezŇĎit, beszállítóit és partnereit támadta egy olyan dél-koreai kiberszabotázs-mŇĪvelet részeként, amely egy pusztító féreg hálózaton alapult. A támadási indikátorok különbözŇĎ irányokból eredtek, ami megzavarta a kiberbiztonsági iparágot februárban. Néhány ritka és kifinomult nyom alapján a Kaspersky Lab kutatói arra gyanakodtak, hogy a hírhedt Lazarus-csoport, az észak-koreai hekkercsoport állhat a támadás mögött. Márciusban ugyanakkor a vállalat is megerŇĎsítette, hogy a bonyolult mŇĪvelet forrása vélhetŇĎen nem a Lazarus-csoport. A szakértŇĎk szerint az Olympic Destroyer újra aktív, felhasználta régi eszköztárát, de most európai célpontokra összpontosít. 

 

 

 Az Olympic Destroyer célpontjai

 

A kibercsapda olyan spear-phishing (adathalász) dokumentumokkal terjeszti kártékony programját, amelyek kísérteties hasonlóságot mutatnak a téli akcióban használt dokumentumokhoz. Az egyik ilyen „csali-dokumentum” egy svájci biokémiai tematikájú konferenciáról szól a Spiez Laboratory szervezésében. Ez az a cég, amely kulcsszerepet játszott a Salisbury támadás feltérképezésében. Egy másik dokumentum az ukrán egészségügyi- és állatorvosi ellenŇĎrzŇĎ hatóságot célozta meg. A kutatók által azonosított adathalász dokumentumok egy része orosz és német nyelvŇĪ volt. 

 

 

A fertŇĎzés metodikája

 

A rosszindulatú dokumentumokból kinyert adatok célja, hogy általános hozzáférést biztosítsanak a megfertŇĎzött számítógépekhez. A támadás második szakaszában egy olyan nyílt forrású és ingyenes framework*-öt használtak, amelyet Powershell Empire-ként ismerünk. 

 

Úgy tŇĪnik, a támadók veszélyeztetett legális szervereket használnak a kártékony programok tárolására és ellenŇĎrzésére. Ezek a szerverek a Joomla nevŇĪ népszerŇĪ és nyílt forráskódú tartalomkezelŇĎ rendszert (CMS) használják. A kutatók vizsgálatai azt mutatják, hogy az egyik szerver, amelyet a rosszindulatú payload (hasznosteher) tárolására használtak egy régi Joomla (v1 7.3 – 2011. novemberében adták ki) verziót használt, ami azt sugallja, hogy a támadók egy nagyon elavult CMS-t használtak a szerverek feltörésére. 

 

„Az Olympic Destroyer felbukkanása a kifinomult és megtévesztŇĎ mŇĪveleteivel örökre megváltoztatta a kiberbiztonsági csapatok hozzáállását és megmutatta, milyen könnyŇĪ hibázni, ha csak töredékét látják a fejlesztŇĎk egy problémának. Az ilyen kifinomult kibercsapda elemzése és deaktiválása a magánszektor bevonásával és a nemzeti határokon átnyúló kormányközi együttmŇĪködésen kell alapulnia. Azzal, hogy nyilvánosan közzétesszük eredményeinket, azt reméljük, hogy a biztonsági kutatók világszerte hamarabb tudnak mérsékelni egy ilyen jellegŇĪ támadást a jövŇĎben.” – magyarázta Vitaly Kamluk, a Kaspersky Lab GReAT (Global Research & Analysis Team) csapatának biztonsági kutatója. 

 

A Téli Olimpiai Játékok idején zajlott támadás során a felderítési szakasz néhány hónappal a pusztító hálózati féreg járványát megelŇĎzte. Nagyon valószínŇĪ, hogy most is hasonló módon készülnek a támadásra. Ezért azt javasoljuk a biológiai és kémiai fenyegetéssel foglalkozó kutatóintézeteknek, hogy legyen magas szintŇĪ a készültség, és tartsanak soron kívüli biztonsági ellenŇĎrzést. 

 

A Kaspersky Lab termékek sikeresen észlelik és blokkolják az Olympic Destroyer-rel kapcsolatos rosszindulatú programokat. 

 

BŇĎvebb információt az Olympic Destroyer visszatérésérŇĎl ezen a linken olvashat.

 

________________

 

* Önmagában közvetlenül nem használható egységes módon megszerkesztett komponenseket tartalmazó halmaz. Lényege, hogy a különbözŇĎ alkalmazásokban és programokban leggyakrabban használt elemek egy helyen találhatóak, és elérhetŇĎvé teszik a fejlesztŇĎk, valamint a programok számára.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció