O Olympic Destroyer foi o protagonista de algumas manchetes durante os mais recentes Jogos Olímpicos de Inverno da Coreia do Sul. Os Jogos Olímpicos de Pyeongchang sofreram um ataque que paralisou, temporariamente, os sistemas de IT antes da cerimónia oficial de inauguração: apagou os ecrãs, deitou a rede Wi-Fi e a web dos Jogos a baixo, impedindo os visitantes de imprimir os seus bilhetes. A Kaspersky Lab descobriu que, também, várias estâncias de ski foram atacadas por este vírus, tendo tido problemas com o funcionamento de portas e de elevadores. Ainda que o impacto real dos ataques com este malware tenha sido limitado, podia ter sido devastador.

No entanto, o verdadeiro interesse para a indústria de cibersegurança não está nos potenciais ou reais danos causados pelos ataques do Olympic Destroyer, mas na origem do malware. É possível que nenhum outro malware sofisticado tenha tido tantas hipóteses de origem como este. Poucos dias após a sua descoberta, equipas de investigadores de todo o mundo atribuíram este malware à Rússia, China e Coreia do Norte, baseando-se numa série de características previamente atribuídas à ciberespionagem e à sabotagem de atores supostamente radicados nestes países ou que trabalhavam para os governos dos mesmos.

Os investigadores da Kaspersky Lab tentaram averiguar que grupo poderia ser responsável por este malware. Num determinado momento da investigação, foram encontradas provas que o ligavam a 100% com o malware do grupo Lazarus, grupo ligado à Coreia do Norte. Esta suspeita tem como base um rasto único dos atacantes.

A combinação de algumas características do ambiente de desenvolvimento do código armazenado nos arquivos pode ser utilizado como “impressão digital” que, em alguns casos, permite identificar os autores do malware. Na amostra analisada, a impressão correspondeu a 100% com componentes previamente conhecidos do malware Lazarus, e zero sobreposições com qualquer outro arquivo, limpo ou malicioso, conhecido até à data pela Kaspersky Lab. A combinação com outros elementos semelhantes em táticas, técnicas e procedimentos (TTP) levou os investigadores à conclusão preliminar de que o Olympic Destroyer era outra operação de Lazarus. No entanto, a motivação e outras incoerências com os TTP de Lazarus descobertos durante a investigação realizada pela Kaspersky Lab nas instalações comprometidas na Coreia do Sul levaram os investigadores a rever as suas conclusões.

Depois de uma outra cuidadosa análise e uma verificação manual de cada característica, os investigadores descobriram que o conjunto não coincidia com o código: na verdade, foi construído para imitar na perfeição a impressão digital utilizada pelo grupo Lazarus.

Como resultado, os investigadores concluíram que as características da “impressão digital” eram uma falsa pista muito sofisticada, colocada intencionalmente dentro do malware para dificultar a atribuição correta da sua origem.

“Pelo que sabemos, as provas que conseguimos encontrar não foram utilizadas previamente para a atribuição. No entanto, os hackers decidiram usá-las, sabendo que alguém as iria encontrar. A falsificação é muito difícil de provar. É como se um criminoso roubasse o ADN de outra pessoa e o deixasse na cena de um crime em vez de deixar o seu. Descobrimos e provámos que o ADN encontrado foi deixado ali de propósito. Tudo isto mostra os esforços que os hackers estão dispostos a fazer para impedir a sua identificação. Temos dito sempre que a atribuição, no ciberespaço, é algo muito difícil uma vez que se podem falsificar muitas coisas, e o Olympic Destroyer é um claro exemplo”, comenta Vitaly Kamluk, Diretor da Equipa de Investigação APAC da Kaspersky Lab.

"Para nós, outra conclusão importante é que a atribuição deve ser vista como um assunto muito sério. Tendo em conta a politização que existe no ciberespaço, uma atribuição errada pode ter graves consequências. Os atores podem tentar manipular a opinião da comunidade de segurança com o objetivo de influenciar a agenda política ", acrescenta.

A atribuição precisa do Olympic Destroyer continua a ser uma pergunta sem resposta, uma vez que é o único exemplo conhecido de implementação de falsas impressões sofisticadas. No entanto, os investigadores da Kaspersky Lab descobriram que os hackers utilizaram o serviço de proteção de privacidade NordVPN, e um fornecedor de alojamento de nome MonoVM – ambos aceitavam Bitcoins. Estas e algumas outras TTP detetadas foram anteriormente utilizadas pelo Sofacy, o conhecido ator de língua russa.

Os produtos da Kaspersky Lab detetam e bloqueiam com êxito o malware Olympic Destroyer.

Mais informações sobre como é que os especialistas da Kaspersky Lab investigaram os ataques do Olympic Destroyer na Coreia do Sul e na Europa estão disponíveis em Securelist.com.

Classifique este item
(0 votos)
Ler 328 vezes

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico.

O nome Wintech surge com o objetivo de apresentar conteúdos relacionados com o Windows (Win) e também com tecnologia (tech).

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top

Usamos cookies para lhe dar a melhor experiência online. Ao usar o nosso website, está a concordar com o uso dos nossos cookies em concordância com a nossa política de privacidade.