Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Opisi virusa, 13.02.2018, 01:30 AM

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Krivac za tehničke probleme koji su se dogodili za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver zbog koga su novinari koji su izveštavali sa ceremonije otvaranja imali probleme sa internetom i televizijskim sistemima.

Organizatori su u nedelju priznali da tehnički problemi nisu bili slučajnost i da se njihova mreža našla na udaru koordinisanog sajber napada.

Više detalja o tome javnost je saznala od istraživača kompanije Cisco koji su objavili izveštaj o malveru koji je korišćen u ovom napadu.

Prema tvrdnjama istraživačima, napadači su koristili do sada nikad viđen malver koji je korišćen sa namerom uništavanja i samouništavanja podataka. Oni kažu da izvlačenja podataka izgleda da nije bilo, već da malver, koji je nazvan Olympic Destroyer, ima jednu jedinu svrhu - a to je uništenje.

"Razorna priroda ovog malvera ima za cilj da računar učini neupotrebljivim brišući shadow volume kopije, evidenciju događaja i da koristeći PsExec i WMI pokuša da se kreće dalje kroz okruženje. Ovo je nešto što smo već videli sa BadRabbit i Nyetya malverima", kažu istraživači.

Kako je došlo do infekcije za sada nije poznato. Olympic Destroyer na sistemu postavlja dva fajla - jedan koji krade lozinke iz browsera i jedan koji krade lozinke sistema. Ovaj prvi prikuplja lozinke iz Internet Expolorera, Firefoxa i Chromea, a ovaj drugi iz Windows LSASS (Local Security Authority Subsystem Service).

Olympic Destroyer koristi cmd.exe i WBAdmin.exe da bi krišom obrisao backup operativnog sistema, i cmd.exe i BCEdit.exe da bi onemogućio pre-boot Windows recovery konzolu. On briše System i Security Windows evidencije događaja da bi sakrio svoje tragove, isključuje sve Windows servise na računaru i isključuje računar, posle čega ga je nemoguće pokrenuti.

Malver ne briše nijedan fajl žrtve. Podaci ostaju netaknuti, ali sistem će se suočiti sa greškama pri pokušaju pokretanja, uglavnom zbog toga što su mnogi ključni Windows servisi isključeni.

Ko stoji iza ovog malvera i napada je nejasno, kao što je to uvek slučaj kada je u pitanju sajber špijunaža. Dva najsumnjivija krivca su Severna Koreja i Rusija. Severna Koreja i Južna Koreja su tehnički još uvek u ratu, a Severna Koreja ima dugu istoriju hakovanja svog južnog suseda. Sa druge strane, MOK je zabranio velikom broju ruskih sportista da učestvuju na Olimpijadi.

Ipak, mnogo je onih koji bi se kladili na Rusiju.

Razloga je dosta, počev od Twitter naloga za koga mnogi veruju da njime rukovode ruske obaveštajne službe i koji je nedavno objavio velike količine hakovanih informacija u pokušaju da nanese štetu MOK-u.

Drugo, postoji veza između malvera BadRabbit i Olympic Destroyera - oba malvera koriste hardkodovane lozinke za bočno kretanje. Prošle godine, ukrajinska obaveštajna služba i CIA povezali su epidemije ransomwarea NotPetya i Bad Rabbit sa ruskim obaveštajnim službama, a Olympic Destroyer je po svemu sudeći rafinisanija verzija BadRabbita.

Ali stvari nisu tako jasne kao što izgledaju. Na primer, neki istraživači kažu da je ovaj malver sličniji alatima koje su ranije koristili kineski hakeri.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Kriptovalute su postale veoma popularne, ali slanje koina nije jednostavno jer zahteva da ih korisnici šalju na adrese koje su dugačke i koje je te... Dalje