对于系统管理员来说,平昌奥运会开幕式并不容易。服务器和显示系统崩溃。官方网站没有响应,导致一些游客无法打印门票。现场也没有 Wi-Fi 网络,这尤其妨碍了记者的工作。
但这些技术挫折并不是先验地与简单的损坏有关。思科 Talos 安全研究人员成功掌握了该恶意软件,这可能是此次事故的根源。这种恶意代码被称为“奥林匹克毁灭者”,其明显目的是破坏奥运会的IT基础设施。
一旦安装在计算机上,它就会尝试从浏览器和系统中窃取密码,然后删除与备份和恢复过程相关的大量文件和程序,以及网络共享数据。特别是,它会删除由 Microsoft 卷影复制技术备份的数据。
对基础设施的深入了解
然后,恶意软件就能够像计算机蠕虫一样在其他计算机上复制自身。“清除所有恢复工具表明攻击者并不打算让机器继续运行。该恶意软件的目的是对机器执行破坏行为,断开其与网络的连接并删除远程数据”,思科 Talos 研究人员在博客文章。
《奥林匹克毁灭者》的作者显然对平昌的 IT 基础设施有着广泛的了解。恶意代码有 44 个管理员帐户的列表,允许访问不同的服务器(DNS、DMZ、数据库等)。因此,奥林匹克驱逐舰销毁阶段之前可能是通过其他方式进行的技术情报阶段。如果事实证明攻击者已经存在网络,则 Olympic Destroyer 可能只是远程下载的。
提问者福布斯思科 Talos 研究人员认为,该攻击可能更具破坏性,例如擦除计算机上的主引导记录或主文件系统。“通过仅删除备份数据,攻击者就好像想表明他们可以完全摧毁系统并使它们无法恢复。这就像留下一张名片,上面写着‘我们可以随时回来’。”,克雷格·威廉姆斯解释道福布斯。
几条小路通向普京
奥林匹克毁灭者的幕后黑手是谁? Cisco Talos 不承担任何归因风险。然而研究人员指出,恶意软件中实现的某些技术与勒索软件中发现的技术相同坏兔子等内特亚/诺特佩特亚,乌克兰和中央情报局将其归咎于俄罗斯黑客组织 APT28。显然,这并不能证明什么。
然而,以爱国主义闻名的俄罗斯海盗实施此类行动的动机却很好:复仇。事实上,俄罗斯运动员因兴奋剂原因被禁止参加平昌奥运会。自一月初以来,巨魔们《花式小熊》是 APT28 的一个分支,发布了从奥运会组织者那里窃取的电子邮件和文件,目的是抹黑他们。
最后请注意,第二组海盗潜伏在平昌网络中。 McAfee 研究人员于二月初检测到,将其命名为《金龙行动》。这些海盗比以前的海盗要谨慎得多,不会进行破坏活动。根据有线,他们使用诱杀电子邮件闯入系统并执行相当复杂的间谍活动。这次行动中发现的韩语元素让人想起朝鲜,但没有任何确定性。无论如何,这都不足为奇,来自敌对兄弟。
