Echipa Globală de Cercetare și Analiză de la Kaspersky Lab a publicat rezultatele studiului său asupra atacurilor realizate cu ajutorul programului malware Olympic Destroyer, furnizând dovezi tehnice în privința indiciilor false de o mare complexitate plasate în malware, de către autori, pentru a induce în eroare în legătură cu adevăratele sale origini.

„Viermele” Olympic Destryer a atras atenția în timpul Jocurilor Olimpice de Iarnă. Jocurile Olimpice de la Pyeongchang au fost vizate de un atac cibernetic ce a paralizat temporar sistemele IT, înaintea ceremoniei oficiale de deschidere, oprind toate monitoarele, rețeaua Wi-Fi și făcând site-ul inaccesibil, astfel încât vizitatorii nu-și mai puteau tipări biletele. Kaspersky Lab a descoperit că și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware, care a oprit funcționarea instalațiilor de schi și a lifturilor din stațiunile respective. Deși impactul real al atacurilor cu acest malware a fost limitat, avea, în mod clar, capacitatea de a fi unul distrugător, lucru care nu s-a întâmplat, din fericire.

Însă principalul interes al industriei de securitate cibernetică nu a constat în pagubele potențiale sau reale produse de atacurile Destroyer, ci în originea lor. Poate niciun alt malware complex nu a mai generat vreodată atâtea ipoteze privind atribuirea cum s-a întâmplat cu Olympic Destroyer. La câteva zile de la descoperire, echipele de cercetare din toată lumea au atribuit acest malware Rusiei, Chinei și Coreei de Nord, pe baza unor caracteristici asociate anterior cu grupări de spionaj cibernetic și sabotaj care se presupunea că provin din aceste țări și lucrează pentru guvernele țărilor respective.

Cercetătorii Kaspersky Lab au încercat și ei să înțeleagă care grup de hacking era în spatele acestui malware. La un moment dat, în cadrul cercetării, au găsit ceva ce părea o dovadă sigură că era vorba de Lazarus – un grup susținut la nivel statal, având legături cu Coreea de Nord.

Concluzia se baza pe o urmă unică lăsată de atacatori. O îmbinare a anumitor caracteristici ale codului, păstrate în fișiere, poate fi folosită ca o „amprentă”, în unele cazuri reușind să identifice autorii unui malware și acțiunile lor. În mostra analizată de Kaspersky Lab, amprenta dădea o potrivire de 100% cu unele componente cunoscute ca aparținând grupului Lazarus și de 0% cu alte fișiere curate sau infectate cunoscute de Kaspersky Lab. Pe baza unor similarități de tactici, tehnici și proceduri (TTP), cercetătorii Kaspersky Lab au ajuns la concluzia preliminară că Olympic Destroyer era încă o lovitură marca Lazarus. Cu toate acestea, motivația și alte elemente care nu se potriveau cu TTP-urile Lazarus, descoperite în timpul investigației de Kaspersky Lab, la locul incidentului din Coreea de Sud, i-au determinat pe cercetători să reia analiza artefactului rar.

După o altă privire atentă asupra dovezii și o verificare ca la carte a fiecărei caracteristici, cercetătorii au descoperit că setul de parametri nu se potrivea cu codul – totul fusese falsificat pentru a se potrivi perfect cu amprenta folosită de Lazarus.

Prin urmare, cercetătorii au concluzionat că „amprenta” este un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.

„Din câte știm, dovada pe care am reușit să o găsim nu a mai fost folosită până acum pentru atribuire”, spune Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab. „Atacatorii au decis să o folosească, anticipând că cineva o va găsi. Au mizat pe faptul că falsificarea acestui artefact este foarte greu de dovedit. Este ca și cum un infractor ar fi furat ADN-ul altcuiva și l-ar li lăsat la locul crimei, în locul celui propriu. Am descoperit și am dovedit că ADN-ul găsit a fost lăsat intenționat la locul incidentului. Toate acestea demonstrează cât de multe eforturi fac atacatorii pentru a rămâne neidentificați cât mai mult posibil. Am spus întotdeauna că atribuirea în spațiul cibernetic este foarte dificilă, pentru că o grămadă de lucruri pot fi falsificate, iar Olympic Destroyer este un bun exemplu în acest sens. Un alt lucru de învățat din această poveste este că atribuirea trebuie să fie luată foarte în serios. Având în vedere cât de politizat a devenit spațiul cibernetic în ultimul timp, atribuirea greșită ar putea să ducă la consecințe serioase, iar autorii din spatele amenințărilor s-ar putea să înceapă să manipuleze opinia comunității de securitate pentru a influența agenda geopolitică”, a adăugat el.

Atribuirea cu acuratețe a atacului Olympic Destroyer rămâne o întrebare fără răspuns deocamdată – pur și simplu, pentru că este un exemplu unic de implementare a unui indiciu fals foarte complex. Cu toate acestea, cercetătorii Kaspersky Lab au descoperită că atacatorii au folosit un serviciu de protecție a identității NordVPN și un furnizor de servicii de hosting denumit MonoVM, ambele acceptând Bitcoin. Aceste indicii, precum și alte TTP-uri au mai fost văzute anterior la Sofacy – un atacator vorbitor de limbă rusă.

Produsele Kaspersky Lab detectează și blochează malware-ul Olympic Destroyer.