Znamy szczegóły ataku na Igrzyska Olimpijskie – i są całkiem ciekawe

dodał 12 lutego 2018 o 20:46 w kategorii Włamania  z tagami:
Znamy szczegóły ataku na Igrzyska Olimpijskie – i są całkiem ciekawe

Wczoraj dowiedzieliśmy się, że seria awarii technicznych w trakcie ceremonii otwarcia Igrzysk Olimpijskich była wynikiem cyberataku. Dzisiaj poznajemy jego szczegóły – i okazuje się być dość niecodzienny i całkiem sprytny.

Wczoraj The Guardina poinformował, że niedostępność strony WWW Igrzysk, awaria WiFi na stadionie oraz popsute telewizory w centrum prasowym były skutkiem cyberataku. Z uwagi na brak szczegółów część mediów spekulowała, że mógł to być prosty atak DDoS – jednak okazuje się, że sprawcy byli dużo bardziej wyrafinowani, dostęp do sieci organizatorów uzyskali z wyprzedzeniem i w bardzo sprytny sposób unieruchomili wiele komputerów – mimo licznych zabezpieczeń.

Atak tajemniczy, ale próbki już nie

Choć organizatorzy nie chcieli wyjawić żadnych szczegółów ataku, to w branży bezpieczeństwa trudno ukryć duże ataki i powiązane z nimi złośliwe oprogramowanie. Zarówno antywirusy jak i zespoły reagowania na incydenty zbierają podejrzane pliki i udostępniają innym specjalistom. Prawdopodobnie właśnie w ten sposób próbki, które mogły mieć związek z atakiem w Pjongczangu, trafiły w ręce zespołu Talos, który opublikował ich analizę. Talos wskazuje, że ocenia związek próbek z atakiem jako prawdopodobny – choć nie ma pewności, że trafił na właściwe pliki (czyli nie uczestniczył w obsłudze incydentu a próbki znalazł sam w innych źródłach). Co zatem znaleziono w plikach?

Nie udało się zidentyfikować wektora dostarczenia złośliwego oprogramowania. Złośnik pojawia się w formie jednego pliku, który po uruchomieniu zapisuje na dysku kilka kolejnych. Zaczyna od próby rozmnożenia. Pobiera tablicę ARP oraz z użyciem WMI szuka wszystkich dostępnych adresów i komputerów w sieci lokalnej. następnie używa narzędzia PsExec do zainstalowania swojej kopii na innych komputerach. Używa przy tym… wbudowanej listy 44 kont wraz z ich hasłami.

Atakujący znali nazwę domeny, nazwy serwerów oraz mieli dostęp do haseł takich kont jak np. dnsadmin, vpnadmin czy SQLAdmin. Oznacza to, że musieli już wcześniej nawiązać bliską znajomość z atakowaną siecią. Oprócz tego dwa kolejne komponenty kradły hasła zapisane w przeglądarkach oraz znajdujące się w pamięci operacyjnej zaatakowanego komputera (w stylu Mimikatza).

Destrukcja

Gdy jedne pliki rozmnażają złośnika, inne rozpoczynają destrukcję, usuwając automatyczne kopie bezpieczeństwa (Shadow Copy). Następnie usuwają informacje narzędzia wbadmin, by utrudnić próby odzyskiwania danych po czym wyłączają możliwość odzyskiwania z systemu z poziomu konsoli.

Na deser usuwają rejestry zdarzeń by skomplikować analizę powłamaniową.

A teraz coś naprawdę złośliwego

Na tym jednak destrukcja się nie kończy – złośliwe oprogramowanie wyłącza w kolejnym kroku wszystkie usługi w systemie, nadając im status „Wyłączony” oraz restartuje zaatakowany system – a raczej dobija, ponieważ po tej operacji żaden system już nie wstanie. Co więcej, prawdopodobnie systemy olimpijskie nie wstaną już wcale, bez względu na zabiegi ratowników. Dlaczego?

Keavin Beaumont wskazuje, że systemy olimpijskie mają skonfigurowanego Bitlockera.

To oznacza, że gdy komputer nie wstaje (a nie wstaje, bo ma wyłączone wszystkie usług), nie można po prostu przenieść dysku do innego komputera, zamontować i zmienić ustawienia tak, by wstał. Zdaniem tego eksperta wgląda na to, że atak, mimo iż nie szyfrował plików (co mogło być wykryte przez oprogramowanie chroniące systemy olimpijskie), skutecznie unieruchomił zainfekowane komputery – bez możliwości przywrócenia innego, niż pełna reinstalacja. Z drugiej strony wg organizatorów zaatakowane systemy wróciły do pracy w ciągu 24 godzin – co sugeruje, żeby być może znaleziono sposób przywrócenia ich sprawności (lub każdy miał gotowy obraz na odłączonym nośniku).

Kto za tym wszystkim stoi

Warto zauważyć, że złośliwy program nie kradł danych, nie logował naciskanych klawiszy, nie przesyłał zrzutów ekranów do centrali – jego celem było rozmnożenie się i zniszczenie tylu komputerów ile tylko się uda. Najwyraźniej dane (takie jak loginy i hasła) skradzione były już wcześniej. Co prawda badacze raczej starają się unikać atrybucji ataków na podstawie samych próbek, lecz oczywiście niektórzy nie mogli się powstrzymać. Oto kilka teorii.

Talos wskazuje na techniki rozmnażania się szkodnika tożsame z tymi używanymi w kampanii NotPetya i BadRabbit, przypisywanych Rosjanom. Nie da się ukryć, że Rosjanie, którzy nie wpuszczono pod flagą Rosji na Igrzyska, mają powód, by próbować je zakłócić.

Crowdstrike informuje, że próbki zauważył już 9 lutego, przygotowane były jednak 27 grudnia 2017. Firma obserwowała także ataki w listopadzie i grudniu 2017, polegające na zbieraniu danych logowania organizacji powiązanej z organizacją Igrzysk, za którymi stała grupa Fancy Bear, o rosyjskim pochodzeniu. Warto także zauważyć, że rosyjskie Ministerstwo Spraw Zagranicznych już 7 lutego wyparło się ewentualnych cyberataków na infrastrukturę Igrzysk.

Z kolei Intezer, firma zajmująca się analizą porównawczą kodu, wskazuje, że połowa próbek zawiera fragmenty unikatowe dla wcześniej obserwowanego chińskiego złośliwego oprogramowania.

Podsumowanie

Wiele wskazuje na to, że opisywane wyżej próbki są powiązane z atakiem na ceremonię otwarcia. Wygląda na to, że ktoś próbował faktycznie zakłócić otwarcie Igrzysk i możliwe, ze gdyby nie szybka reakcja organizatorów, którzy odcięli zainfekowane systemy, mógłby odnieść sukces.Trudno jednak, bez głębszej wiedzy na temat wydarzeń (którą dysponują tylko organizatorzy), ocenić, kto stoi za atakiem. Na szczęście Koreańczycy mają w zwyczaju dzielenie się swoimi obserwacjami – najwyraźniej potrzebują czasu, by przeprowadzić wiarygodną analizę.