Hakerska grupa koja stoji iza operacije „Olympic Destroyer“ još uvek je aktivna i sada ima nove ciljeve

Vesti, 20.06.2018, 10:00 AM

Hakerska grupa koja stoji iza operacije „Olympic Destroyer“ još uvek je aktivna i sada ima nove ciljeve

Istraživači kompanije Kaspersky Lab koji prate pretnju „Olympic Destroyer“, poznatu po napadu koji se desio za vreme otvaranja Zimskih olimpijskih igara u Pjongčangu u kom je korišćen razarajući mrežni crv, kažu da je hakerska grupa koja stoji iza ovog napada i dalje aktivna. Naime, hakeri su ovoga puta napali zemlje poput Nemačke, Francuske, Švajcarske, Holandije, Ukrajine i Rusije, fokusirajući se na organizacije koje se bave zaštitom od hemijskih i bioloških pretnji.

„Olympic Destroyer“ je napredna pretnja koja je pogodila organizatore, dobavljače i partnere Zimskih olimpijskih igara 2018 održanih u Pjongčangu u Južnoj Koreji. Napadači su izveli sajber sabotažu pomoću mrežnog crva. Brojni indikatori su ukazivali na različite pravce iz kojih je napad došao, što je izazvalo konfuziju u u redovima bezbednosnih istraživača u februaru 2018. godine. Par retkih i sofisticiranih znakova koje je otkrila kompanija Kaspersky Lab upućivali su na to da je iza ove operacije stajala sajber kriminalna grupa Lazarus, koju čine povezani akteri iz Severne Koreje. Međutim, u martu, kompanija je objavila da je ova složena operacija izvedena "pod lažnom zastavom“, i da je verovatnoća da je Lazarus krivac za ove napade mala.

Istraživači su sada otkrili da je operacija „Olympic Destroyer“ opet aktuelna, i da napadači koriste deo svojih originalnih alata za infiltraciju i prikupljanje informacija, fokusirajući se ovaj put na ciiljeve u Evropi.

„Olympic Destroyer“ širi svoj malver pomoću spear fišing dokumenata koji su veoma slični dokumentima koji su bili korišćeni tokom priprema za napad izveden tokom Zimskih olimpijskih igara. Jedan ovakav dokument koji je služio kao mamac odnosio se na „Spiez Convergence“ konferenciju posvećenu pitanjima biohemijskih pretnji, održanu u Švajcarskoj, u organizaciji Spiez Laboratory, organizacije koja je igrala ključnu ulogu tokom istrage napada u Solsberiju. Drugi dokument targetirao je organizaciju koja se bavi kontrolom zdravstva i veterine u Ukrajini. Neki od spear fišing dokumenata koje su pronašli istraživači sadrže reči na ruskom i nemačkom.

Svi podaci izvučeni iz malicioznih dokumenata dizajnirani su tako da omoguće pristup kompromitovanim računarima. Open-source, besplatni framework, poznat pod imenom Powershell Empire, korišćen je tokom druge faze napada.

Napadači koriste kompromitovane legitimne web servere za hostovanje i kontrolu malvera. Ovi serveri koriste CMS (content management system) pod imenom Joomla. Istraživači su otkrili da je jedan od servera na kome su hostovani maliciozni podaci koristio verziju Joomle (v1.7.3) objavljenu u novembru 2011. godine.

„Pojavljivanje pretnje „Olympic Destroyer“ početkom ove godine promenilo je oblast identifikacije počinilaca sajber napada i pokazalo koliko je u stvari lako da se donese pogrešan zaključak kada se radi samo sa nepotpunim informacijama koje su dostupne istraživačima. Analiza i suzbijanje ovih pretnji treba da bude bazirana na saradnji privatnog i vladinog sektora, izvan nacionalnih okvira. Nadamo se da ćemo javnim deljenjem naših nalaza postići da ljudi zaduženi za odgovor na ovakve incidente i bezbednosni istraživači budu u boljoj poziciji da prepoznaju i suzbiju ovakve napade u bilo kojoj fazi u budućnosti“, rekao je Vitali Kamluk, bezbednosni istraživač u GreAT timu kompanije Kaspersky Lab (tim za globano istraživanje i analizu - Global Research and Analysis Team).

Prilikom prethodnog napada za vreme Zimskih olimpijskih igara, početak faze prikupljanja informacija desio se par meseci pre epidemije samomodifikujućeg razarajućeg mrežnog crva. Veoma je moguće da akteri pretnje „Olympic Destroyer“ spremaju sličan napad sa novim motivima.

Više informacija o pretnji „Olympic Destroyer“ možete naći na na sajtu Kaspersky Laba, Securelist.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Email adrese više od milion korisnika pornografskog web sajta, od kojih neke otkrivaju imena korisnika ili čak njihove državne funkcije, otkrivene ... Dalje

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: tr... Dalje

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Da bi zaštitili svoje korisnike u Kazahstanu od vladinog nadzora, Google, Apple i Mozilla blokirali su vladin root sertifikat u svojim pregledačima.... Dalje

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google je prikupljao podatke preko do sada nepoznatog Android servisa koji je uključivao i lokaciju korisnika. Kompanije koje prikupljaju lične poda... Dalje

23 grada u Teksasu napadnuta ransomwareom u isto vreme

23 grada u Teksasu napadnuta ransomwareom u isto vreme

Više američkih gradova ovih dana ima probleme zbog ransomwarea pošto su prošlog petka pretrpeli sajber napad. Reč je o 23 manja grada u Teksasu ... Dalje