Olympic Destroyer: кто взломал Олимпиаду?

Когда-то давно на время Олимпийских игр страны-участники останавливали войны и откладывали политические споры. Сейчас все чаще происходит наоборот. Вот и зимняя Олимпиада в Пхёнчхане началась со скандала: неизвестные атаковали ее серверы прямо перед открытием, и многие гости не смогли попасть на церемонию — не удалось распечатать билеты.

В результате атаки зловреда, получившего громкое имя Olympic Destroyer, были выведены из строя официальный сайт Олимпиады и сеть Wi-Fi на стадионе, также атака помешала прямой трансляции мероприятия. В оргкомитете уверяли, что серьезных последствий это не повлекло, но шум все равно поднялся нешуточный. Поэтому очень интересно было разобраться, что же именно повлекло эти последствия и кто за этим стоит.

Как устроен Olympic Destroyer

С точки зрения механизма распространения Olympic Destroyer — сетевой червь. Всего наши эксперты обнаружили не менее трех площадок, которые были заражены изначально и использовались для дальнейшего распространения червя: это pyeongchang2018.com, серверы сети лыжных курортов и серверы компании Atos, поставщика IT-услуг.

С этих площадок червь автоматически распространялся по сети через механизм совместного доступа к файлам Windows. Попутно он воровал с зараженных компьютеров сохраненные пароли, дописывал их в себя и использовал для дальнейшего распространения. Конечной целью Olympic Destroyer было уничтожение файлов на сетевых дисках, до которых червь мог дотянуться с зараженного компьютера, и последующий вывод системы из строя.

Кто же испортил праздник?

Журналисты и блогеры утонули в догадках, кто и зачем попытался сорвать церемонию открытия Игр. Северную Корею начали подозревать еще до начала соревнований: оттуда якобы шпионили за компьютерами оргкомитета.

Затем, естественно, подумали на русских: ведь именно нашу команду допустили к участию в состязаниях не полным составом, с рядом жестких ограничений, к тому же запретив национальную символику. А когда исследователи усмотрели сходство вредоносной программы с продукцией китайских киберпреступников, подозрения переключились на Поднебесную.

Следствие ведет «Лаборатория Касперского»

Пока широкая публика строила гипотезы, специалисты по кибербезопасности продолжали искать улики. «Лаборатория Касперского» провела собственное расследование.

Сперва, как и многие, наши эксперты подозревали северокорейских киберпреступников, а именно группировку Lazarus. Исследовав образец Olympic Destroyer, специалисты нашли в нем ряд цифровых «отпечатков пальцев», прямо указывающих на авторство Lazarus.

Однако по мере того как наши эксперты копали вглубь, они находили все больше нестыковок. После тщательной перепроверки всех найденных «вещдоков» и еще более пристального изучения кода они поняли: то, что казалось неопровержимыми уликами, на самом деле — искусная подделка.

Помимо всего прочего, в процессе изучения Olympic Destroyer наши эксперты обнаружили ряд улик, указывающих на совсем другого автора — русскоязычную хакерскую группировку Sofacy (также известную как APT28 и Fancy Bear). Однако мы не можем исключать вероятность того, что и эти улики, в свою очередь, также являются подделкой. Когда речь заходит о кибершпионаже «на высшем уровне», ни в чем нельзя быть уверенным на 100%.