Эксперты изучают вирус olympic destroyer

Вскоре после завершения церемонии открытия зимних Олимпийских игр в Пхенчане, СМИ сообщили о кибератаке. Так, во время церемонии на стадионе отключился Wi-Fi и телевизионные системы, а также на время перестал функционировать официальный сайт Олимпиады. Расследованием случившегося немедленно занялись эксперты по безопасности, и теперь команда Cisco Talos представила развернутый отчет о происшедшем.

Исследователи рассказали, что сбои спровоцировала малварь, которой присвоили название Olympic Destroyer, и атака вовсе не была случайной. Как выяснилось, вредонос является вайпером (от английского wiper, «чистильщик») и способен удалять критические для работы Windows системные сервисы, вмешиваться в процедуры восстановления данных. Так,после атаки Olympic Destroyer зараженное устройство может перестать загружаться вовсе. По данным Cisco, малварь умышленно ищет и стирает файлы, размещенные в сетевых папках, которые возможно и не являются необходимыми для работы ОС, однако определенно могут представлять ценность для устроителей Олимпийских игр.


Также эксперты пришли к выводу, что Olympic Destroyer обладает интересным механизмом самоизменения, который позволяет угрозе меняться и эволюционировать на каждом зараженном хосте. Аналитики пишут, что Olympic Destroyer похищает учетные данные из браузеров и операционной системы, а затем комбинирует эту информацию со списком жестко закодированных логинов и паролей, которые использует для дальнейшего распространения по сети.


Исследователи заметили, что похитив учетные данные, вредонос создает новые бинарники, пополняя ими уже имеющийся в его распоряжении список логинов и паролей. Специалисты Cisco Talos признают, что сама идея полиморфной малвари не нова, но им еще не доводилось видеть ничего подобного за все долгие годы работы.

Но даже этот необычный метод сбора и применения учетных данных не объясняет, как Olympic Destroyer столь успешно распространился по сети. Здесь на помощь пришли специалисты Microsoft и команды Windows Defender. Они сообщили, что вирус использовал эксплоит АНБ EternalRomance, некогда похищенный у спецслужб хакерской группой Shadow Brokers и после опубликованный в открытом доступе. Напомню, что EternalRomance, наряду с инструментом EternalBlue, также использовался для распространения малвари NotPetya и Bad Rabbit.

Хотя изучение Olympic Destroyer пока далеко от завершения, а ИБ-специалисты заполнили еще не все пробелы, практически все исследователи сходятся во мнении, что Olympic Destroyer был создан не для кибершпионажа и не ради финансовой выгоды. Похоже, что основной задачей малвари было именно нанесение вреда и уничтожение данных.