Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε τα αποτελέσματα της δικής της έρευνας σχετικά με τις επιθέσεις του κακόβουλου λογισμικού Olympic Destroyer, παρέχοντας τεχνικές αποδείξεις για ένα πολύ εξελιγμένο false flag στο εσωτερικό ενός worm από τον δημιουργό του κακόβουλου λογισμικού, προκειμένου να αποπροσανατολίσει τους κυνηγούς απειλών ώστε να μην αντιληφθούν την πραγματική του προέλευση.
Το Olympic Destroyer worm βρέθηκε στα πρωτοσέλιδα κατά τους χειμερινούς Ολυμπιακούς Αγώνες. Οι Ολυμπιακοί Αγώνες της PyeongChang ήρθαν αντιμέτωποι με μια ψηφιακή επίθεση που παρέλυσε προσωρινά τα συστήματα πληροφορικής πριν την επίσημη τελετή έναρξής τους, κλείνοντας οθόνες προβολής, νεκρώνοντας το Wi-Fi και καταργώντας την ιστοσελίδα των Ολυμπιακών Αγώνων, ώστε οι επισκέπτες να μην μπορούν να εκτυπώσουν εισιτήρια. Η Kaspersky Lab διαπίστωσε επίσης ότι αρκετές εγκαταστάσεις σε χιονοδρομικά κέντρα στη Νότια Κορέα δέχτηκαν επιθέσεις από αυτό το worm, το οποίο απενεργοποίησε τη λειτουργία θυρών και λιφτ στα θέρετρα. Παρόλο που ο πραγματικός αντίκτυπος των επιθέσεων με αυτό το κακόβουλο λογισμικό ήταν περιορισμένος, είχε σαφώς την ικανότητα να είναι καταστροφικό, πράγμα που ευτυχώς δεν συνέβη.
Εντούτοις, το πραγματικό ενδιαφέρον για τον κλάδο της ψηφιακής ασφάλειας δεν έγκειται στη δυνητική ή ακόμη και στην πραγματική ζημία που προκλήθηκε από τις επιθέσεις του Destroyer αλλά στην προέλευση του κακόβουλου λογισμικού. Πιθανότατα σε κανένα άλλο εξελιγμένο κακόβουλο λογισμικό δεν είχαν αποδοθεί τόσες πολλές υποθέσεις όσες στον Olympic Destroyer. Μέσα σε λίγες μέρες από την ανακάλυψή του, ερευνητικές ομάδες από όλο τον κόσμο κατάφεραν να αποδώσουν αυτό το κακόβουλο λογισμικό στη Ρωσία, την Κίνα και τη Βόρειο Κορέα, βασιζόμενοι σε μια σειρά χαρακτηριστικών που έχουν αποδοθεί προηγουμένως σε φορείς ψηφιακής κατασκοπείας και δολιοφθοράς με έδρα τις χώρες αυτές ή που εργάζονται για τις κυβερνήσεις των χωρών αυτών.
Οι ερευνητές της Kaspersky Lab προσπαθούσαν επίσης να καταλάβουν ποια ομάδα hacking ήταν πίσω από αυτό το κακόβουλο λογισμικό. Σε κάποιο σημείο κατά τη διάρκεια της έρευνάς τους, συνάντησαν κάτι που έμοιαζε με 100% αποδεικτικό στοιχείο που συνέδεε το κακόβουλο λογισμικό με την Ομάδα Lazarus – μια διαβόητη ομάδα που υποστηρίζεται από έθνη-κράτη και συνδέεται με τη Βόρεια Κορέα.
Το συμπέρασμα αυτό βασίστηκε σε ένα μοναδικό ίχνος που άφησαν οι επιτιθέμενοι. Ένας συνδυασμός ορισμένων χαρακτηριστικών του περιβάλλοντος ανάπτυξης κώδικα αποθηκευμένος στα αρχεία μπορεί να χρησιμοποιηθεί ως «δακτυλικό αποτύπωμα», που σε ορισμένες περιπτώσεις προσδιορίζει τους δημιουργούς κακόβουλου λογισμικού και τα έργα τους. Στο δείγμα που αναλύθηκε από την Kaspersky Lab, αυτό το αποτύπωμα έδωσε 100% αντιστοίχιση με παλαιότερα γνωστά στοιχεία του κακόβουλου λογισμικού Lazarus και μηδενική επικάλυψη με οποιοδήποτε άλλο καθαρό ή κακόβουλο αρχείο που είναι γνωστό μέχρι σήμερα στην Kaspersky Lab. Σε συνδυασμό με άλλες ομοιότητες στις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs), οδήγησε τους ερευνητές στο προκαταρκτικό συμπέρασμα ότι το Olympic Destroyer ήταν μια ακόμη επιχείρηση Lazarus. Ωστόσο, τα κίνητρα και άλλες ασυνέπειες με τα TTP Lazarus που αποκαλύφθηκαν κατά τη διάρκεια επιτόπιας έρευνας της Kaspersky Lab στην εγκατάσταση που είχε τεθεί σε κίνδυνο στη Νότια Κορέα, ανάγκασαν τους ερευνητές να επανεξετάσουν το σπάνιο εύρημα.
Έπειτα από προσεκτική εξέταση των αποδεικτικών στοιχείων και χειροκίνητη επαλήθευση κάθε χαρακτηριστικού, οι ερευνητές ανακάλυψαν ότι το σύνολο των χαρακτηριστικών δεν ταιριάζει με τον κώδικα – είχε πλαστογραφηθεί ώστε να ταιριάζει απόλυτα με τα δακτυλικά αποτυπώματα που χρησιμοποιεί η Ομάδα Lazarus.
Ως αποτέλεσμα, οι ερευνητές κατέληξαν στο συμπέρασμα ότι το «δακτυλικό αποτύπωμα» των χαρακτηριστικών είναι ένα πολύ εξελιγμένο false flag που τοποθετείται σκόπιμα στο εσωτερικό του κακόβουλου λογισμικού, προκειμένου να δώσει στους κυνηγούς απειλών την εντύπωση ότι βρήκαν αδιάσειστες αποδείξεις, «βγάζοντάς τους εκτός πορείας» κι εμποδίζοντας τους να πραγματοποιήσουν ακριβέστερη απόδοση.
Όπως δήλωσε ο Vitaly Kamluk, Head of APAC Research Team, Kaspersky Lab.
“Κατά την άποψή μας, τα στοιχεία που μπορέσαμε να βρούμε δεν χρησιμοποιήθηκαν στο παρελθόν για απόδοση. Ωστόσο, οι επιτιθέμενοι αποφάσισαν να τα χρησιμοποιήσουν, προβλέποντας ότι κάποιος θα τα βρει. Υπολόγισαν στο γεγονός ότι η πλαστογραφία αυτού του αντικειμένου είναι πολύ δύσκολο να αποδειχθεί. Είναι σαν ένας εγκληματίας να έχει κλέψει το DNA κάποιου άλλου και να το αφήνει σε μια σκηνή εγκλήματος αντί του δικού του. Ανακαλύψαμε και αποδείξαμε ότι το DNA που βρέθηκε στη σκηνή του εγκλήματος τοποθετήθηκε εκεί με σκοπό. Όλα αυτά αποδεικνύουν ότι οι εισβολείς είναι διατεθειμένοι να καταβάλουν μεγάλη προσπάθεια για να παραμείνουν άγνωστοι για όσο το δυνατόν περισσότερο. Πάντα λέγαμε ότι η απόδοση στον κυβερνοχώρο είναι πολύ δύσκολη, καθώς πολλά πράγματα μπορούν να παραποιηθούν, και το Olympic Destroyer είναι μια αρκετά ακριβής εικόνα αυτού του γεγονότος. Άλλο ένα συμπέρασμα που βγάλαμε από αυτή την ιστορία είναι ότι η απόδοση πρέπει να ληφθεί εξαιρετικά σοβαρά. Δεδομένου του πόσο πολιτικοποιημένος είναι πλέον ο κυβερνοχώρος, η λανθασμένη απόδοση θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες και οι φορείς απειλής ενδέχεται να αρχίσουν να προσπαθούν να χειραγωγήσουν τη γνώμη της κοινότητας ασφάλειας για να επηρεάσουν τη γεωπολιτική ατζέντα”
Η ακριβής απόδοση του Olympic Destroyer εξακολουθεί να είναι ανοικτή ερώτηση – απλώς και μόνο επειδή είναι ένα μοναδικό παράδειγμα εφαρμογής πολύ εξελιγμένων false flags. Ωστόσο, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποίησαν την υπηρεσία προστασίας δεδομένων ιδιωτικού απορρήτου NordVPN και έναν πάροχο hosting που ονομάζεται MonoVM, και οι δύο δέχονται Bitcoins. Αυτά και μερικά άλλα ανακαλυφθέντα ΤΤΡs είχαν χρησιμοποιηθεί για πρώτη φορά από τον Sofacy, τον ρωσόφωνο φορέα.
Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία το κακόβουλο πρόγραμμα Olympic Destroyer.
