Hakerska grupa koja stoji iza operacije „Olympic Destroyer“ još uvek je aktivna i sada ima nove ciljeve

Vesti, 20.06.2018, 10:00 AM

Istraživači kompanije Kaspersky Lab koji prate pretnju „Olympic Destroyer“, poznatu po napadu koji se desio za vreme otvaranja Zimskih olimpijskih igara u Pjongčangu u kom je korišćen razarajući mrežni crv, kažu da je hakerska grupa koja stoji iza ovog napada i dalje aktivna. Naime, hakeri su ovoga puta napali zemlje poput Nemačke, Francuske, Švajcarske, Holandije, Ukrajine i Rusije, fokusirajući se na organizacije koje se bave zaštitom od hemijskih i bioloških pretnji.

„Olympic Destroyer“ je napredna pretnja koja je pogodila organizatore, dobavljače i partnere Zimskih olimpijskih igara 2018 održanih u Pjongčangu u Južnoj Koreji. Napadači su izveli sajber sabotažu pomoću mrežnog crva. Brojni indikatori su ukazivali na različite pravce iz kojih je napad došao, što je izazvalo konfuziju u u redovima bezbednosnih istraživača u februaru 2018. godine. Par retkih i sofisticiranih znakova koje je otkrila kompanija Kaspersky Lab upućivali su na to da je iza ove operacije stajala sajber kriminalna grupa Lazarus, koju čine povezani akteri iz Severne Koreje. Međutim, u martu, kompanija je objavila da je ova složena operacija izvedena "pod lažnom zastavom“, i da je verovatnoća da je Lazarus krivac za ove napade mala.

Istraživači su sada otkrili da je operacija „Olympic Destroyer“ opet aktuelna, i da napadači koriste deo svojih originalnih alata za infiltraciju i prikupljanje informacija, fokusirajući se ovaj put na ciiljeve u Evropi.

„Olympic Destroyer“ širi svoj malver pomoću spear fišing dokumenata koji su veoma slični dokumentima koji su bili korišćeni tokom priprema za napad izveden tokom Zimskih olimpijskih igara. Jedan ovakav dokument koji je služio kao mamac odnosio se na „Spiez Convergence“ konferenciju posvećenu pitanjima biohemijskih pretnji, održanu u Švajcarskoj, u organizaciji Spiez Laboratory, organizacije koja je igrala ključnu ulogu tokom istrage napada u Solsberiju. Drugi dokument targetirao je organizaciju koja se bavi kontrolom zdravstva i veterine u Ukrajini. Neki od spear fišing dokumenata koje su pronašli istraživači sadrže reči na ruskom i nemačkom.

Svi podaci izvučeni iz malicioznih dokumenata dizajnirani su tako da omoguće pristup kompromitovanim računarima. Open-source, besplatni framework, poznat pod imenom Powershell Empire, korišćen je tokom druge faze napada.

Napadači koriste kompromitovane legitimne web servere za hostovanje i kontrolu malvera. Ovi serveri koriste CMS (content management system) pod imenom Joomla. Istraživači su otkrili da je jedan od servera na kome su hostovani maliciozni podaci koristio verziju Joomle (v1.7.3) objavljenu u novembru 2011. godine.

„Pojavljivanje pretnje „Olympic Destroyer“ početkom ove godine promenilo je oblast identifikacije počinilaca sajber napada i pokazalo koliko je u stvari lako da se donese pogrešan zaključak kada se radi samo sa nepotpunim informacijama koje su dostupne istraživačima. Analiza i suzbijanje ovih pretnji treba da bude bazirana na saradnji privatnog i vladinog sektora, izvan nacionalnih okvira. Nadamo se da ćemo javnim deljenjem naših nalaza postići da ljudi zaduženi za odgovor na ovakve incidente i bezbednosni istraživači budu u boljoj poziciji da prepoznaju i suzbiju ovakve napade u bilo kojoj fazi u budućnosti“, rekao je Vitali Kamluk, bezbednosni istraživač u GreAT timu kompanije Kaspersky Lab (tim za globano istraživanje i analizu - Global Research and Analysis Team).

Prilikom prethodnog napada za vreme Zimskih olimpijskih igara, početak faze prikupljanja informacija desio se par meseci pre epidemije samomodifikujućeg razarajućeg mrežnog crva. Veoma je moguće da akteri pretnje „Olympic Destroyer“ spremaju sličan napad sa novim motivima.

Više informacija o pretnji „Olympic Destroyer“ možete naći na na sajtu Kaspersky Laba, Securelist.