O noua metoda de atribuire i-a ajutat pe cercetatorii de la Kaspersky Lab sa identifice un indiciu fals complex
Echipa Globala de Cercetare si Analiza de la Kaspersky Lab a publicat rezultatele studiului sau asupra atacurilor realizate cu ajutorul programului malware Olympic Destroyer, furnizand dovezi tehnice in privinta indiciilor false de o mare complexitate plasate in malware, de catre autori, pentru a induce in eroare in legatura cu adevaratele sale origini.
„Viermele” Olympic Destryer a atras atentia in timpul Jocurilor Olimpice de Iarna. Jocurile Olimpice de la Pyeongchang au fost vizate de un atac cibernetic ce a paralizat temporar sistemele IT, inaintea ceremoniei oficiale de deschidere, oprind toate monitoarele, reteaua Wi-Fi si facand site-ul inaccesibil, astfel incat vizitatorii nu-si mai puteau tipari biletele. Kaspersky Lab a descoperit ca si alte cateva statiuni de schi din Coreea de Sud au fost afectate de acelasi malware, care a oprit functionarea instalatiilor de schi si a lifturilor din statiunile respective. Desi impactul real al atacurilor cu acest malware a fost limitat, avea, in mod clar, capacitatea de a fi unul distrugator, lucru care nu s-a intamplat, din fericire.
Insa principalul interes al industriei de securitate cibernetica nu a constat in pagubele potentiale sau reale produse de atacurile Destroyer, ci in originea lor. Poate niciun alt malware complex nu a mai generat vreodata atatea ipoteze privind atribuirea cum s-a intamplat cu Olympic Destroyer. La cateva zile de la descoperire, echipele de cercetare din toata lumea au atribuit acest malware Rusiei, Chinei si Coreei de Nord, pe baza unor caracteristici asociate anterior cu grupari de spionaj cibernetic si sabotaj care se presupunea ca provin din aceste tari si lucreaza pentru guvernele tarilor respective.
Cercetatorii Kaspersky Lab au incercat si ei sa inteleaga care grup de hacking era in spatele acestui malware. La un moment dat, in cadrul cercetarii, au gasit ceva ce parea ,o dovada sigura ca era vorba de Lazarus – un grup sustinut la nivel statal, avand legaturi cu Coreea de Nord.
Concluzia se baza pe o urma unica lasata de atacatori. O imbinare a anumitor caracteristici ale codului, pastrate in fisiere, poate fi folosita ca o „amprenta”, in unele cazuri reusind sa identifice autorii unui malware si actiunile lor. In mostra analizata de Kaspersky Lab, amprenta dadea o potrivire de 100% cu unele componente cunoscute ca apartinand grupului Lazarus si de 0% cu alte fisiere curate sau infectate cunoscute de Kaspersky Lab. Pe baza unor similaritati de tactici, tehnici si proceduri (TTP), cercetatorii Kaspersky Lab au ajuns la concluzia preliminara ca Olympic Destroyer era inca o lovitura marca Lazarus. Cu toate acestea, motivatia si alte elemente care nu se potriveau cu TTP-urile Lazarus, descoperite in timpul investigatiei de Kaspersky Lab, la locul incidentului din Coreea de Sud, i-au determinat pe cercetatori sa reia analiza artefactului rar.
Dupa o alta privire atenta asupra dovezii si o verificare ca la carte a fiecarei caracteristici, cercetatorii au descoperit ca setul de parametri nu se potrivea cu codul – totul fusese falsificat pentru a se potrivi perfect cu amprenta folosita de Lazarus.
Prin urmare, cercetatorii au concluzionat ca „amprenta” este un indiciu fals sofisticat, plasat intentionat in malware, pentru a le da specialistilor impresia ca au gasit dovada care ii da de gol pe atacatori, dar care, de fapt, ii indeparteaza de pe pista atribuirii corecte.
„Din cate stim, dovada pe care am reusit sa o gasim nu a mai fost folosita pana acum pentru atribuire”, spune Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab. „Atacatorii au decis sa o foloseasca, anticipand ca cineva o va gasi. Au mizat pe faptul ca falsificarea acestui artefact este foarte greu de dovedit. Este ca si cum un infractor ar fi furat ADN-ul altcuiva si l-ar li lasat la locul crimei, in locul celui propriu. Am descoperit si am dovedit ca ADN-ul gasit a fost lasat intentionat la locul incidentului. Toate acestea demonstreaza cat de multe eforturi fac atacatorii pentru a ramane neidentificati cat mai mult posibil. Am spus intotdeauna ca atribuirea in spatiul cibernetic este foarte dificila, pentru ca o gramada de lucruri pot fi falsificate, iar Olympic Destroyer este un bun exemplu in acest sens.
Un alt lucru de invatat din aceasta poveste este ca atribuirea trebuie sa fie luata foarte in serios. Avand in vedere cat de politizat a devenit spatiul cibernetic in ultimul timp, atribuirea gresita ar putea sa duca la consecinte serioase, iar autorii din spatele amenintarilor s-ar putea sa inceapa sa manipuleze opinia comunitatii de securitate pentru a influenta agenda geopolitica”, a adaugat el.
Atribuirea cu acuratete a atacului Olympic Destroyer ramane o intrebare fara raspuns deocamdata – pur si simplu, pentru ca este un exemplu unic de implementare a unui indiciu fals foarte complex. Cu toate acestea, cercetatorii Kaspersky Lab au descoperita ca atacatorii au folosit un serviciu de protectie a identitatii NordVPN si un furnizor de servicii de hosting denumit MonoVM, ambele acceptand Bitcoin. Aceste indicii, precum si alte TTP-uri au mai fost vazute anterior la Sofacy – un atacator vorbitor de limba rusa.
Produsele Kaspersky Lab detecteaza si blocheaza malware-ul Olympic Destroyer.
Puteti citi mai mult despre investigatia cercetatorilor Kaspersky Lab asupra atacurilor Olympic Destroyer din Coreea de Nord, in articolul de pe Securelist.com.
Despre Kaspersky Lab
Kaspersky Lab este o companie globala din domeniul securitatii cibernetice, prezenta pe piata de peste 20 de ani. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii de ultima generatie pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.