Wygląda na to, że Olympic Destroyer — zaawansowane zagrożenie, które próbowało zakłócić Zimowe Igrzyska Olimpijskie 2018 w Korei Południowej — powróciło. Niedawno nasi eksperci znaleźli ślady aktywności szkodnika podobnego do zagrożenia Olympic Destroyer, które atakuje organizacje finansowe w Rosji, a także laboratoria odpowiedzialne za ochronę przed zagrożeniami biologicznymi i chemicznymi w Holandii, Niemczech, Francji, Szwajcarii i na Ukrainie.
Problem
Oryginalny Olympic Destroyer wykorzystywał bardzo wyrafinowane metody oszustwa. Po pierwsze, używał bardzo przekonujących specjalnie spreparowanych dokumentów obciążonych szkodliwym oprogramowaniem. Po drugie, stosował mechanizmy zaciemniające w celu ukrycia swoich narzędzi przed rozwiązaniami zabezpieczającymi. A ponadto działał pod tzw. fałszywą banderą w celu utrudnienia przeprowadzania analizy zagrożeń.
W odniesieniu do ostatnio zidentyfikowanego zagrożenia nowością jest rodzaj dokumentów użytych do phishingu ukierunkowanego, do których dołączone były oryginalne narzędzia używane przez Olympic Destroyera. Mimo że nie są to jeszcze oznaki robaka, przeanalizowane przez nas dokumenty mogą świadczyć o etapie rekonesansu (podobnie jak to miało miejsce w 2017 r., gdy etap ten poprzedził działania cybersabotażowe). Informacje techniczne opisujące ten szkodliwy program, jego infrastrukturę i oznaki włamania, znajdują się w naszym poście w serwisie SecureList.
Nowe zainteresowania
Prawdziwą nowością są tu cele szkodliwego oprogramowania. Nasza analiza wiadomości przygotowanych w ramach przynęty wskazuje, że cyberprzestępcy próbowali uzyskać dostęp do laboratoriów zapobiegania zagrożeniom biologicznym i chemicznym. Wśród ich nowych celów znalazły się również rosyjskie organizacje finansowe — chociaż może to być także zabieg mający na celu mylenie tropów.
Oprócz zaciemnionych skryptów dokumenty zawierały odniesienia do konferencji „Spiez Convergence” (która miała miejsce w Szwajcarii i była poświęcona zagrożeniom biochemicznym), środka paralityczno-drgawkowego, który prawdopodobnie został użyty do otrucia Siergieja Skripala i jego córki w Anglii, jak również zamówień dokonanych przez ukraińskie ministerstwo zdrowia.
Wnioski
Zwykle gdy mówimy o zagrożeniach, które są rozprzestrzeniane przy użyciu phishingu, zalecamy ostrożność podczas otwierania podejrzanych dokumentów. Niestety w tym przypadku ta porada okazałaby się zbędna — bo dokumenty nie miały podejrzanego charakteru.
Przynęta, która została utworzona do zrealizowania tego ukierunkowanego ataku phishingowego, została dostosowana do ofiary. Dlatego firmom i organizacjom odpowiedzialnym za badania i ochronę przed zagrożeniami biochemicznymi w Europie możemy poradzić jedynie, aby przeprowadzały niezapowiadane audyty bezpieczeństwa. Ponadto dobrym krokiem będzie też zainstalowanie niezawodnych rozwiązań ochronnych. Nasze produkty wykrywają i blokują szkodliwe oprogramowanie powiązane z zagrożeniem Olympic Destroyer.