Hakerska grupa koja stoji iza operacije „Olympic Destroyer“ još uvek je aktivna i sada ima nove ciljeve

Vesti, 20.06.2018, 10:00 AM

Hakerska grupa koja stoji iza operacije „Olympic Destroyer“ još uvek je aktivna i sada ima nove ciljeve

Istraživači kompanije Kaspersky Lab koji prate pretnju „Olympic Destroyer“, poznatu po napadu koji se desio za vreme otvaranja Zimskih olimpijskih igara u Pjongčangu u kom je korišćen razarajući mrežni crv, kažu da je hakerska grupa koja stoji iza ovog napada i dalje aktivna. Naime, hakeri su ovoga puta napali zemlje poput Nemačke, Francuske, Švajcarske, Holandije, Ukrajine i Rusije, fokusirajući se na organizacije koje se bave zaštitom od hemijskih i bioloških pretnji.

„Olympic Destroyer“ je napredna pretnja koja je pogodila organizatore, dobavljače i partnere Zimskih olimpijskih igara 2018 održanih u Pjongčangu u Južnoj Koreji. Napadači su izveli sajber sabotažu pomoću mrežnog crva. Brojni indikatori su ukazivali na različite pravce iz kojih je napad došao, što je izazvalo konfuziju u u redovima bezbednosnih istraživača u februaru 2018. godine. Par retkih i sofisticiranih znakova koje je otkrila kompanija Kaspersky Lab upućivali su na to da je iza ove operacije stajala sajber kriminalna grupa Lazarus, koju čine povezani akteri iz Severne Koreje. Međutim, u martu, kompanija je objavila da je ova složena operacija izvedena "pod lažnom zastavom“, i da je verovatnoća da je Lazarus krivac za ove napade mala.

Istraživači su sada otkrili da je operacija „Olympic Destroyer“ opet aktuelna, i da napadači koriste deo svojih originalnih alata za infiltraciju i prikupljanje informacija, fokusirajući se ovaj put na ciiljeve u Evropi.

„Olympic Destroyer“ širi svoj malver pomoću spear fišing dokumenata koji su veoma slični dokumentima koji su bili korišćeni tokom priprema za napad izveden tokom Zimskih olimpijskih igara. Jedan ovakav dokument koji je služio kao mamac odnosio se na „Spiez Convergence“ konferenciju posvećenu pitanjima biohemijskih pretnji, održanu u Švajcarskoj, u organizaciji Spiez Laboratory, organizacije koja je igrala ključnu ulogu tokom istrage napada u Solsberiju. Drugi dokument targetirao je organizaciju koja se bavi kontrolom zdravstva i veterine u Ukrajini. Neki od spear fišing dokumenata koje su pronašli istraživači sadrže reči na ruskom i nemačkom.

Svi podaci izvučeni iz malicioznih dokumenata dizajnirani su tako da omoguće pristup kompromitovanim računarima. Open-source, besplatni framework, poznat pod imenom Powershell Empire, korišćen je tokom druge faze napada.

Napadači koriste kompromitovane legitimne web servere za hostovanje i kontrolu malvera. Ovi serveri koriste CMS (content management system) pod imenom Joomla. Istraživači su otkrili da je jedan od servera na kome su hostovani maliciozni podaci koristio verziju Joomle (v1.7.3) objavljenu u novembru 2011. godine.

„Pojavljivanje pretnje „Olympic Destroyer“ početkom ove godine promenilo je oblast identifikacije počinilaca sajber napada i pokazalo koliko je u stvari lako da se donese pogrešan zaključak kada se radi samo sa nepotpunim informacijama koje su dostupne istraživačima. Analiza i suzbijanje ovih pretnji treba da bude bazirana na saradnji privatnog i vladinog sektora, izvan nacionalnih okvira. Nadamo se da ćemo javnim deljenjem naših nalaza postići da ljudi zaduženi za odgovor na ovakve incidente i bezbednosni istraživači budu u boljoj poziciji da prepoznaju i suzbiju ovakve napade u bilo kojoj fazi u budućnosti“, rekao je Vitali Kamluk, bezbednosni istraživač u GreAT timu kompanije Kaspersky Lab (tim za globano istraživanje i analizu - Global Research and Analysis Team).

Prilikom prethodnog napada za vreme Zimskih olimpijskih igara, početak faze prikupljanja informacija desio se par meseci pre epidemije samomodifikujućeg razarajućeg mrežnog crva. Veoma je moguće da akteri pretnje „Olympic Destroyer“ spremaju sličan napad sa novim motivima.

Više informacija o pretnji „Olympic Destroyer“ možete naći na na sajtu Kaspersky Laba, Securelist.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje