Olympic Destroyer znowu atakuje. Jego celem są podmioty zajmujące się ochroną przed zagrożeniami chemicznymi i biologicznymi!

20-06-2018, 17:54

Olympic Destroyer jest znany za sprawą ataku związanego z otwarciem Zimowych Igrzysk Olimpijskich w Pjongczangu. To była najgłośniejsza sprawa z wykorzystaniem tego destrukcyjnego robaka sieciowego. Wyniki badania, przeprowadzonego przez ekspertów, wskazują, że zagrożenie jest nadal aktywne, a jego celem są niektóre z krajów europejskich.

Olympic Destroyer to cyberzagrożenie, które uderzyło w organizację, dostawców oraz partnerów Zimowych Igrzysk Olimpijskich 2018 w Pjongczangu w Korei Południowej, stosując operację sabotażu opartą na destrukcyjnym robaku sieciowym. Ślady wskazywały na różne kierunki źródła ataku, wywołując pewne zamieszanie w branży bezpieczeństwa IT w lutym 2018 r. Kilka rzadkich i wyrafinowanych tropów odkrytych przez badaczy sugerowało, że za całą operacją stało ugrupowanie Lazarus, które ma powiązania z Koreą Północną. Jednak w marcu firma potwierdziła, że kampania ta stanowiła misterną i przekonującą operację pod tzw. fałszywą banderą, której nie można przypisać ugrupowaniu Lazarus.

Obecnie eksperci bezpieczeństwa ustalili, stosując własny zestaw narzędzi do infiltracji i rekonesansu, że operacja Olympic Destroyer została wznowiona i koncentruje się na celach w Europie.

Ugrupowanie rozprzestrzenia swoje szkodliwe oprogramowanie za pośrednictwem dokumentów typowych dla phishingu ukierunkowanego (spear-phishing), które przypominają dokumenty wykorzystane podczas przygotowań do operacji związanej z igrzyskami zimowymi. Jeden z takich dokumentów o charakterze przynęty nawiązywał do „Spiez Convergence”, konferencji dot. zagrożeń biochemicznych, która została zorganizowana w Szwajcarii przez Spiez Laboratory — organizację, która odegrała kluczową rolę w dochodzeniu w związku z atakiem w Salisbury. Inny dokument był wymierzony w jednostkę ukraińskiego organu ds. zdrowia i kontroli weterynaryjnej. Niektóre z wykrytych przez badaczy dokumentów phishingowych zawierają słowa w języku rosyjskim i niemieckim.

Wszystkie ostateczne funkcje szkodliwe wyodrębnione z dokumentów stosowanych podczas ataku miały na celu zapewnienie zdalnego dostępu do zainfekowanych komputerów. W drugim etapie ataku wykorzystano darmowe rozwiązanie, powszechnie znane jako Powershell Empire.

Atakujący wykorzystują zhakowane legalne serwery WWW w celu przechowywania i kontrolowania szkodliwego oprogramowania. Serwery te wykorzystują popularny, oparty na otwartym źródle system do zarządzania treścią (CMS) o nazwie Joomla. Badacze ustalili, że jeden z serwerów przechowujący szkodliwą funkcję wykorzystał w listopadzie system Joomla w wersji 1.7.3, co sugeruje, że do zhakowania serwerów przestępcy mogli wykorzystać bardzo przestarzały wariant systemu CMS.

Na podstawie telemetrii Kaspersky Lab oraz plików przesłanych do serwisów oferujących wiele skanerów antywirusowych wydaje się, że celem kampanii Olympic Destroyer były podmioty w Niemczech, Francji, Szwajcarii Holandii, na Ukrainie oraz w Rosji.

Źródło: Kaspersky Lab Polska


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

Brak danych. Sprawdź później :)
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031