Cine a lansat atacul cibernetic care aproape a blocat Olimpiada de Iarnă din Coreea de Sud?

- Adrian Ungureanu
394

Jocurile Olimpice de Iarnă de la Pyoengchang nu fost lipsite de probleme de securitate cibernetică, iar un malware destul de periculos a paralizat sisteme IT cu puțin timp înaintea ceremoniei de deschidere.

Malware-ul denumit Olympic Destroyer a oprit toate monitoarele, rețeaua Wi-Fi și făcând site-ul inaccesibil, astfel încât vizitatorii nu-și mai puteau tipări biletele.

Potrivit celor de la Kaspersky Lab și alte câteva stațiuni de schi din Coreea de Sud au fost afectate de același malware, care a oprit funcționarea instalațiilor de schi și a lifturilor din stațiunile respective.

”Deși impactul real al atacurilor cu acest malware a fost limitat, avea, în mod clar, capacitatea de a fi unul distrugător, lucru care nu s-a întâmplat, din fericire”, se arată într-un comunicat furnizorului de soluții de securitate.

La câteva zile de la descoperire, echipele de cercetare din toată lumea au atribuit acest malware Rusiei, Chinei și Coreei de Nord, pe baza unor caracteristici asociate anterior cu grupări de spionaj cibernetic și sabotaj care se presupunea că provin din aceste țări și lucrează pentru guvernele țărilor respective.

Cercetătorii Kaspersky Lab au găsit ceva ce părea o dovadă sigură că era vorba de Lazarus – un grup susținut la nivel statal, având legături cu Coreea de Nord. Dar și-au dat seama că ceva nu e în regulă și au reluat analiza. Dovada pe care au găsit-o că ar fi Lazarus a fost pusă intenționat de atacatori spun cei de la Kaspersky, tocmai pentru a induce lumea în eroare.

Prin urmare, cercetătorii au concluzionat că „amprenta” este un indiciu fals sofisticat, plasat intenționat în malware, pentru a le da specialiștilor impresia că au găsit dovada care îi dă de gol pe atacatori, dar care, de fapt, îi îndepărtează de pe pista atribuirii corecte.

Atribuirea cu acuratețe a atacului Olympic Destroyer rămâne o întrebare fără răspuns deocamdată – pur și simplu, pentru că este un exemplu unic de implementare a unui indiciu fals foarte complex.

Cu toate acestea, cercetătorii Kaspersky Lab au descoperită că atacatorii au folosit un serviciu de protecție a identității NordVPN și un furnizor de servicii de hosting denumit MonoVM, ambele acceptând Bitcoin.

Aceste indicii, precum și alte TTP-uri au mai fost văzute anterior la Fancy Bear (Sofacy) – un atacator vorbitor de limbă rusă.