Fałszywa flaga olimpijska: jak szkodliwe oprogramowanie Olympic Destroyer oszukało społeczność związaną z cyberbezpieczeństwem

0
1504

Kaspersky Lab opublikował wyniki własnego badania dotyczącego ataków przeprowadzonych przez szkodliwe oprogramowanie Olympic Destroyer, dostarczając techniczne dowody bardzo wyrafinowanej „fałszywej bandery” umieszczonej przez twórcę wewnątrz robaka w celu zmylenia badaczy odnośnie jego prawdziwego pochodzenia.

Robak Olympic Destroyer pojawił się w doniesieniach medialnych podczas Zimowych Igrzysk Olimpijskich 2018 w Pjongczangu. Igrzyska stały się celem cyberataku, który przed oficjalną ceremonią otwarcia sparaliżował na pewien czas systemy IT, wyłączył monitory i sieć Wi-Fi oraz zablokował oficjalną stronę internetową, tak aby kibice nie mogli wydrukować biletów. Kaspersky Lab ustalił również, że ofiarą tego robaka padło także kilka ośrodków narciarskich w Korei Południowej, gdzie szkodnik wyłączył działanie bram oraz wyciągów narciarskich. Chociaż rzeczywisty wpływ ataków przy użyciu tego szkodliwego oprogramowania był ograniczony, wyraźnie posiadał on moc destrukcyjną, która na szczęście nie została zrealizowana.

Jednak tym, co tak naprawdę interesowało branżę cyberbezpieczeństwa, nie była potencjalna, czy nawet rzeczywista szkoda spowodowana przez ataki oprogramowania Olympic Destroyer, ale pochodzenie tego szkodliwego oprogramowania. Szkodnik był przedmiotem wielu hipotez związanych z tym, kto go stworzył. W ciągu kilku dni od wykrycia zespoły badawcze z całego świata zdołały przypisać autorstwo tego zagrożenia Rosji, Chinom oraz Korei Północnej na podstawie wielu cech charakterystycznych przypisywanych wcześniej ugrupowaniom stosującym cyberszpiegostwo i sabotaż, które rzekomo znajdowały się w tych państwach lub pracowały dla ich rządów.

Badacze z Kaspersky Lab również próbowali zrozumieć, który cybergang stał za tym szkodnikiem. W pewnym momencie podczas swoich badań natknęli się na coś, co wyglądało jak 100% dowód łączący tego szkodnika z Lazarusem – niesławnym, wspieranym przez rząd ugrupowaniem przypisywanym Korei Północnej.

Wniosek ten opierał się na unikatowym śladzie pozostawionym przez atakujących. Kombinacja pewnych przechowywanych w plikach cech środowiska rozwoju kodu może zostać wykorzystana jako swego rodzaju „odcisk palca”, identyfikując w niektórych przypadkach autorów szkodliwego oprogramowania oraz ich projekty. W analizowanej przez Kaspersky Lab próbce odcisk ten w 100% pasował do znanych wcześniej komponentów szkodliwego oprogramowania grupy Lazarus i nie wykazywał podobieństwa do żadnego innego czystego lub szkodliwego pliku, który był wcześniej znany badaczom z Kaspersky Lab. Biorąc pod uwagę również inne podobieństwa w zakresie taktyk, technik oraz procedur, eksperci doszli wstępnie do wniosku, że Olympic Destroyer stanowi kolejną operację ugrupowania Lazarus. Jednak motywy i inne niespójności dotyczące taktyk, technik i procedur, które Kaspersky Lab odkrył podczas dochodzenia na miejscu w zainfekowanym obiekcie w Korei Południowej, skłoniły badaczy do ponownego zbadania tych nietypowych śladów.

Po kolejnym dokładnym przyjrzeniu się dowodowi oraz ręcznej weryfikacji każdej cechy badacze odkryli, że zestaw artefaktów nie pasował do kodu – został podrobiony w taki sposób, aby doskonale pasował do odcisku palca stosowanego przez grupę Lazarus.

W efekcie badacze uznali, że odcisk palca tych cech stanowi bardzo wyrafinowaną fałszywą banderę, celowo umieszczoną wewnątrz szkodliwego oprogramowania, aby osoby identyfikujące zagrożenia odniosły wrażenie, że znalazły „dowód winy” i nie próbowały szukać dalej.

Z tego, co wiemy, znaleziony przez nas dowód nie został wcześniej wykorzystany do przypisania komukolwiek odpowiedzialności za ten atak. Mimo to atakujący postanowili wykorzystać go, przewidując, że ktoś go znajdzie. Liczyli na to, że udowodnienie sfałszowania takiego artefaktu jest bardzo trudne. To tak, jakby przestępca ukradł czyjeś DNA i zostawił je zamiast swojego na miejscu zbrodni. Odkryliśmy i udowodniliśmy, że DNA znalezione na miejscu zbrodni zostało podłożone tam celowo. Wszystko to świadczy o tym, ile wysiłku cyberprzestępcy są gotowi włożyć w to, aby możliwie jak najdłużej pozostać niezidentyfikowani. Zawsze powtarzaliśmy, że przypisanie autorstwa w cyberprzestrzeni jest bardzo trudne, ponieważ wiele rzeczy można podrobić, a Olympic Destroyer jest dość dobrym tego przykładem – powiedział Witalij Kamliuk, szef zespołu badawczego na obszar APAC, Kaspersky Lab. Inny wniosek, jaki można wyciągnąć z tej historii, jest taki, że przypisywanie autorstwa jest sprawą, którą należy traktować niezwykle poważnie. Biorąc pod uwagę upolitycznienie cyberprzestrzeni w ostatnim czasie błędna atrybucja może prowadzić do poważnych konsekwencji i niektóre podmioty mogą zacząć próbować manipulować opinią społeczności bezpieczeństwa w celu wywarcia wpływu na sytuację geopolityczną.

Poprawne przypisanie autorstwa szkodnikowi Olympic Destroyer nadal stanowi otwartą kwestię – po prostu dlatego, że jest to unikatowy przykład zastosowania bardzo wyrafinowanych fałszywych bander. Jednak badacze z Kaspersky Lab odkryli, że atakujący wykorzystywali usługę ochrony prywatności NordVPN oraz dostawcę hostingu o nazwie MonoVM, które akceptują bitcoiny. Te i kilka innych wykrytych taktyk, technik i procedur było wcześniej wykorzystywanych przez rosyjskojęzyczne ugrupowanie Sofacy.