Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Opisi virusa, 13.02.2018, 01:30 AM

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Krivac za tehničke probleme koji su se dogodili za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver zbog koga su novinari koji su izveštavali sa ceremonije otvaranja imali probleme sa internetom i televizijskim sistemima.

Organizatori su u nedelju priznali da tehnički problemi nisu bili slučajnost i da se njihova mreža našla na udaru koordinisanog sajber napada.

Više detalja o tome javnost je saznala od istraživača kompanije Cisco koji su objavili izveštaj o malveru koji je korišćen u ovom napadu.

Prema tvrdnjama istraživačima, napadači su koristili do sada nikad viđen malver koji je korišćen sa namerom uništavanja i samouništavanja podataka. Oni kažu da izvlačenja podataka izgleda da nije bilo, već da malver, koji je nazvan Olympic Destroyer, ima jednu jedinu svrhu - a to je uništenje.

"Razorna priroda ovog malvera ima za cilj da računar učini neupotrebljivim brišući shadow volume kopije, evidenciju događaja i da koristeći PsExec i WMI pokuša da se kreće dalje kroz okruženje. Ovo je nešto što smo već videli sa BadRabbit i Nyetya malverima", kažu istraživači.

Kako je došlo do infekcije za sada nije poznato. Olympic Destroyer na sistemu postavlja dva fajla - jedan koji krade lozinke iz browsera i jedan koji krade lozinke sistema. Ovaj prvi prikuplja lozinke iz Internet Expolorera, Firefoxa i Chromea, a ovaj drugi iz Windows LSASS (Local Security Authority Subsystem Service).

Olympic Destroyer koristi cmd.exe i WBAdmin.exe da bi krišom obrisao backup operativnog sistema, i cmd.exe i BCEdit.exe da bi onemogućio pre-boot Windows recovery konzolu. On briše System i Security Windows evidencije događaja da bi sakrio svoje tragove, isključuje sve Windows servise na računaru i isključuje računar, posle čega ga je nemoguće pokrenuti.

Malver ne briše nijedan fajl žrtve. Podaci ostaju netaknuti, ali sistem će se suočiti sa greškama pri pokušaju pokretanja, uglavnom zbog toga što su mnogi ključni Windows servisi isključeni.

Ko stoji iza ovog malvera i napada je nejasno, kao što je to uvek slučaj kada je u pitanju sajber špijunaža. Dva najsumnjivija krivca su Severna Koreja i Rusija. Severna Koreja i Južna Koreja su tehnički još uvek u ratu, a Severna Koreja ima dugu istoriju hakovanja svog južnog suseda. Sa druge strane, MOK je zabranio velikom broju ruskih sportista da učestvuju na Olimpijadi.

Ipak, mnogo je onih koji bi se kladili na Rusiju.

Razloga je dosta, počev od Twitter naloga za koga mnogi veruju da njime rukovode ruske obaveštajne službe i koji je nedavno objavio velike količine hakovanih informacija u pokušaju da nanese štetu MOK-u.

Drugo, postoji veza između malvera BadRabbit i Olympic Destroyera - oba malvera koriste hardkodovane lozinke za bočno kretanje. Prošle godine, ukrajinska obaveštajna služba i CIA povezali su epidemije ransomwarea NotPetya i Bad Rabbit sa ruskim obaveštajnim službama, a Olympic Destroyer je po svemu sudeći rafinisanija verzija BadRabbita.

Ali stvari nisu tako jasne kao što izgledaju. Na primer, neki istraživači kažu da je ovaj malver sličniji alatima koje su ranije koristili kineski hakeri.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje