對於系統管理員來說,平昌奧運開幕式並不容易。伺服器和顯示系統崩潰。官方網站沒有回應,導致一些遊客無法列印門票。現場也沒有 Wi-Fi 網絡,這尤其妨礙了記者的工作。
但這些技術挫折並不是先驗地與簡單的損害有關。思科 Talos 安全研究人員成功掌握了該惡意軟體,這可能是這次事故的根源。這種惡意程式碼被稱為“奧林匹克毀滅者”,其明顯目的是破壞奧運會的IT基礎設施。
一旦安裝在電腦上,它就會嘗試從瀏覽器和系統中竊取密碼,然後刪除與備份和復原過程相關的大量檔案和程序,以及網路共用資料。特別是,它會刪除由 Microsoft 影集複製技術備份的資料。
對基礎設施的深入了解
然後,惡意軟體就能夠像電腦蠕蟲一樣在其他電腦上複製自身。「清除所有復原工具表示攻擊者並不打算讓機器繼續運作。該惡意軟體的目的是對機器執行破壞行為,斷開其與網路的連接並刪除遠端資料”,思科 Talos 研究人員在部落格文章。
《奧林匹克毀滅者》的作者顯然對平昌的 IT 基礎設施有著廣泛的了解。惡意程式碼有 44 個管理員帳戶的列表,允許存取不同的伺服器(DNS、DMZ、資料庫等)。因此,奧林匹克驅逐艦在銷毀階段之前可能是透過其他方式進行的技術情報階段。如果事實證明攻擊者已經存在網絡,則 Olympic Destroyer 可能只是遠端下載的。
提問者福布斯思科 Talos 研究人員認為,該攻擊可能更具破壞性,例如擦除電腦上的主引導記錄或主檔案系統。「透過僅刪除備份數據,攻擊者就好像想表明他們可以完全摧毀系統並使它們無法恢復。這就像留下一張名片,上面寫著‘我們可以隨時回來’。,克雷格威廉斯解釋道福布斯。
幾條小路通往普丁
奧林匹克毀滅者的幕後黑手是誰? Cisco Talos 不承擔任何歸因風險。然而研究人員指出,惡意軟體中實現的某些技術與勒索軟體中發現的技術相同壞兔子等內特亞/諾特佩特亞,烏克蘭和中央情報局將其歸咎於俄羅斯駭客組織 APT28。顯然,這並不能證明什麼。
然而,以愛國主義聞名的俄羅斯海盜實施此類行動的動機卻很好:復仇。事實上,俄羅斯運動員因興奮劑原因被禁止參加平昌奧運。自一月初以來,巨魔們《花式小熊》是 APT28 的一個分支,發布了從奧運組織者那裡竊取的電子郵件和文件,目的是抹黑他們。
最後請注意,第二組海盜潛伏在平昌網路中。 McAfee 研究人員於二月初檢測到,將其命名為《金龍行動》。這些海盜比以前的海盜要謹慎得多,不會進行破壞活動。根據有線,他們使用誘殺電子郵件闖入系統並執行相當複雜的間諜活動。這次行動中發現的韓語元素讓人想起朝鮮,但沒有任何確定性。無論如何,這不足為奇,來自敵對兄弟。
