Эксперты изучают вирус Olympic Destroyer, вызвавший проблемы во время открытия Олимпиады в Пхенчхане

Вскоре после завершения церемонии открытия зимних Олимпийских игр в Пхенчане, СМИ сообщили о кибератаке. Так, во время церемонии на стадионе отключился Wi-Fi и телевизионные системы, а также на время перестал функционировать официальный сайт Олимпиады. Расследованием случившегося немедленно занялись эксперты по безопасности, и теперь команда Cisco Talos представила развернутый отчет о происшедшем.

Исследователи рассказали, что сбои спровоцировала малварь, которой присвоили название Olympic Destroyer, и атака вовсе не была случайной. Как выяснилось, вредонос является вайпером (от английского wiper, «чистильщик») и способен удалять критические для работы Windows системные сервисы, вмешиваться в процедуры восстановления данных. Так,после атаки Olympic Destroyer зараженное устройство может перестать загружаться вовсе. По данным Cisco, малварь умышленно ищет и стирает файлы, размещенные в сетевых папках, которые возможно и не являются необходимыми для работы ОС, однако определенно могут представлять ценность для устроителей Олимпийских игр.

Также эксперты пришли к выводу, что Olympic Destroyer обладает интересным механизмом самоизменения, который позволяет угрозе меняться и эволюционировать на каждом зараженном хосте. Аналитики пишут, что Olympic Destroyer похищает учетные данные из браузеров и операционной системы, а затем комбинирует эту информацию со списком жестко закодированных логинов и паролей, которые использует для дальнейшего распространения по сети.

Исследователи заметили, что похитив учетные данные, вредонос создает новые бинарники, пополняя ими уже имеющийся в его распоряжении список логинов и паролей. Специалисты Cisco Talos признают, что сама идея полиморфной малвари не нова, но им еще не доводилось видеть ничего подобного за все долгие годы работы.

Но даже этот необычный метод сбора и применения учетных данных не объясняет, как Olympic Destroyer столь успешно распространился по сети. Здесь на помощь пришли специалисты Microsoft и команды Windows Defender. Они сообщили, что вирус использовал эксплоит АНБ EternalRomance, некогда похищенный у спецслужб хакерской группой Shadow Brokers и после опубликованный в открытом доступе. Напомню, что EternalRomance, наряду с инструментом EternalBlue, также использовался для распространения малвари NotPetya и Bad Rabbit.

Хотя изучение Olympic Destroyer пока далеко от завершения, а ИБ-специалисты заполнили еще не все пробелы, практически все исследователи сходятся во мнении, что Olympic Destroyer был создан не для кибершпионажа и не ради финансовой выгоды. Похоже, что основной задачей малвари было именно нанесение вреда и уничтожение данных.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."

Комментарии (7)

    • тут даже исследовать ничего не надо, чтобы понять кто обиду держит

  • Баба Яга против!

    Olympic Destroyer был создан не для кибершпионажа и не ради финансовой выгоды. Похоже, что основной задачей малвари было именно нанесение вреда и уничтожение данных.

    Хороший вирус. Правильный. Давно таких не пишут.

    • А мне еще нравятся такие вирусы которые порно на стендах показывають.
      Так сказать знакомят с хорошим :-)

  • Я правильно понял, распространялся вирус через SMB, т.е. у них виндовсы не обновляются и они не слышали про Петю, ПлохогоКролика.?

  • Для таких возможностей олимпиада была почти безобидной жертвой, сомневаюсь, что вопрос был в деньгах.