Атакующие олимпийского эсминца отомстили, присматриваясь к более крупным целям

Во время зимних Олимпийских игр 2018 года в Южной Корее появился новый субъект угроз, создавший головную боль для специалистов по информационной безопасности. Злоумышленники, получившие название «Олимпийский разрушитель», нацелены на аффилированных лиц Зимних игр (таких как организаторы, поставщики и партнеры) с помощью вируса-червя и различных атак по ложному направлению, чтобы распутать следы властей. Исследование, проведенное Olympic Destroyer до широкомасштабных кибератак, показало, что этот человек (или группа лиц) был серьезным игроком и умелым в своем деле. В то время как Olympic Destroyer отключился после игр, многие задавались вопросом, когда они могут появиться снова.

Оказывается, согласно исследованиям «Лаборатории Касперского», Olympic Destroyer вернулся и наносит еще больший урон, чем прежде. Результаты исследования были опубликованы в сообщении на SecureList и указывают на то, что хакер переходит к более крупным целям. В частности, Olympic Destroyer преследует различные финансовые организации, базирующиеся в России, и, что еще более тревожно, также нацелен на лаборатории в Украине, которые специализируются на предотвращении атак с использованием биологического и химического оружия.

Финансовые объекты в России подвергаются атакам с помощью целевых фишинговых документов, в которых используется «идеальный русский язык». Один из таких документов относится к злободневному вопросу об отравлении российского двойного агента Сергея Скрипаля и его дочери в Солсбери, Великобритания, а именно в том, что он претендует на то, чтобы быть новостями по этому делу. Украинские цели в «области предотвращения биологической и эпизоотической угрозы» также нацелены через макросы зараженных документов, за исключением того, что этот документ является фактическим официальным заявлением, дословно скопированным из Министерства здравоохранения Украины.

Естественно, после загрузки документов хост-компьютер заражается вредоносным ПО. Именно элементы метода заражения позволили «Лаборатории Касперского» установить, что эти целевые фишинговые атаки были делом рук Olympic Destroyer. Как они поясняют в отчете:

Процедура заражения немного сложнее и опирается на несколько различных технологий, смешивая код VBA, PowerShell, MS HTA, с JScript внутри и многое другое PowerShell… Встроенный макрос сильно запутан. Он имеет случайно сгенерированную переменную и функцию… Этот код VBA был запутан с помощью той же техники, которая использовалась в исходной кампании целевого фишинга Olympic Destroyer… Обфускатор использует перестановку на основе массива для изменения исходного кода и защищает все команды и строки, такие как в качестве адреса сервера управления и контроля (C2). Существует один известный инструмент запутывания, используемый для создания такого эффекта: Invoke-Obfuscation.

Конечный результат выполнения полезной нагрузки (который является агентом PowerShell Empire) приводит к глубокому доступу к зараженным машинам. Хотя невозможно узнать, для чего собираются данные, ясно, что вся их часть берется у крупных игроков в критически важных отраслях. Исследователи до сих пор не знают, кто такой Олимпийский Разрушитель, и его мотивы. Информация, полученная в ходе этих недавних целевых фишинговых кампаний, может быть использована бесчисленным количеством способов, поэтому поспешные выводы на данном этапе просто бесполезны.

Исследователи «Лаборатории Касперского» рекомендуют «сотрудничество между частным сектором и правительствами через национальные границы» и усиление мер безопасности в местах, которые особенно связаны с предотвращением химических и биологических угроз. Первая рекомендация будет сложной из-за того, что говорящие головы в этом мире намерены разделить нас, но, надеюсь, специалисты по информационной безопасности смогут обойти эту враждебность и защитить мирных жителей, как мы поклялись делать.