Olympic Destroyer: kto zhakował igrzyska olimpijskie?

Dawno temu, gdy odbywały się igrzyska olimpijskie, uczestniczące w nich kraje wstrzymywały toczone między sobą wojny i odkładały na bok kwestie polityczne. Dziś sytuacja jest zgoła odmienna. Zimowe igrzyska olimpijskie w Pjongczangu rozpoczęły się skandalem: nieznani hakerzy zaatakowali serwery tuż przed ceremonią otwarcia, a wielu widzów nie mogło jej obejrzeć, gdyż nie mogli oni wydrukować swoich biletów.

W wyniku ataku szkodliwe oprogramowanie o nazwie Olympic Destroyer wstrzymało działanie oficjalnej strony igrzysk olimpijskich oraz łączność Wi-Fi na stadionie, a także wywołało problemy z transmisją wydarzenia. Jesteście ciekawi, co dokładnie się stało i kto za tym stał?

Jak działa program Olympic Destroyer

Jeśli chodzi o mechanizm rozprzestrzeniania się, Olympic Destroyer jest robakiem sieciowym. Nasi eksperci wykryli, że jako pierwsze zostały zainfekowane co najmniej trzy podmioty, które następnie rozpropagowały robaka: była wśród nich strona pyeongchang2018.com, serwery sieciowe ośrodków narciarskich oraz serwery dostawcy usługi IT, Atos.

Z tych platform robak rozprzestrzenił się w sieci automatycznie poprzez współdzielone zasoby systemu Windows. Skradł hasła zapisane na zainfekowanych komputerach, zapisał je w sobie i użył ich do dalszej propagacji. Ostatecznym celem robaka Olympic Destroyer było oczyszczenie plików ze sterowników sieciowych, do których robak mógł uzyskać dostęp, a także zamknięcie zainfekowanych przez niego systemów.

Kto zepsuł imprezę?

Dziennikarze i blogerzy prześcigali się w domysłach, kto chciał zakłócić ceremonię otwarcia tegorocznych igrzysk i dlaczego. Korea Północna była podejrzewana jeszcze przed rozpoczęciem imprezy: podobno mieszkańcy tego kraju mieli dopuścić się szpiegostwa na komputerach Komitetu Organizacyjnego.

Następnie podejrzenia padły jak zwykle na Rosjan: w końcu tylko wybrani członkowie drużyny z tego kraju mogli wziąć udział w rywalizacjach, którzy dodatkowo byli objęci kilkoma restrykcjami, a wywieszenie flagi narodowej zostało zakazane. Jednak gdy śledztwo wykazało podobieństwa między Olympic Destroyer a szkodliwym programem utworzonym przez cyberprzestępców z Chin, podejrzenia zostały skierowane na to właśnie państwo.

Kaspersky Lab prowadzi śledztwo

Podczas gdy opinia publiczna spekulowała, eksperci do spraw cyberbezpieczeństwa rozpoczęli poszukiwania dowodu. Firma Kaspersky Lab również postanowiła przeprowadzić własne śledztwo.

Początkowo, podobnie jak wielu innych, nasi eksperci podejrzewali cyberprzestępców z Korei Północnej, a dokładniej grupę Lazarus. Po zbadaniu próbki szkodnika Olympic Destroyer badacze dostrzegli serię cyfrowych odcisków palców wskazujących bezpośrednio na grupę Lazarus jako autora omawianego zagrożenia.

Jednak w miarę gdy nasi eksperci przyglądali się sprawie coraz bliżej, znajdowali coraz więcej rozbieżności. Po dokładnej ponownej ocenie wszystkich znalezionych „dowodów” oraz dokładnej analizie kodu zrozumieli, że to, co wyglądało na ewidentny dowód, w rzeczywistości było to sprytną imitacją — tak zwaną fałszywą flagą.

Ostatecznie, podczas badania Olympic Destroyer nasi eksperci odkryli ślady wskazujące na całkowicie inny podmiot — rosyjską grupę hakerską Sofacy (znaną również pod nazwami APT28 i Fancy Bear). Jednak nie możemy wykluczyć tego, że i ten dowód jest sfałszowany. W końcu jeśli chodzi o cyberszpiegostwo na najwyższym poziomie, nigdy nie ma się 100% pewności.