2018年平昌冬奥会受到“Olympic Destroyer”攻击
2018-03-01
2018年2月在韩国举办的平昌冬季奥林匹克运动会遭到不明身份的黑客攻击。根据目前的分析来看,此次攻击主要目的为破坏冬奥会的顺利举行,并没有发现其他功能。分析人员在分析攻击样本后表示,此次攻击的溯源与攻击者身份难以下定论,攻击者使用了多个其他攻击团体的特征,以此迷惑和误导分析人员,使得攻击者身份难以被确定。分析人员将该攻击称为“Olympic Destroyer”。
背景
2月11日,在韩国平昌的举办的冬奥会开幕式中,主办方计算机系统遇到问题,工作人员称是不重要的系统并且于12小时内修复。随后,奥运会官员确认该问题源于一起网络攻击,但并没有细说。
Talos团队日后发现了这次攻击中使用到的样本并进行了分析。目前无法确认主办方系统是如何受到感染的。样本表明攻击者并不是想窃取信息而是要干扰此次冬奥会的顺利进行。样本分析只表现出了破坏的功能,并没有关于信息窃取的内容。该样本通过删除卷影副本和活动日志等手段破坏系统,这与之前的BadRabbit和Nyetya(NotPetya)类似。
随后在2月28日,Talos再次发出一则博客,主要表示攻击者身份无法准确确定,同时也希望不要盲目下结论。样本使用了很多方法迷惑和误导分析者,攻击者反而会利用第三方的这些错误的判断来更好的隐藏自身。
攻击流程
“Olympic destroyer”是一组打包在一个exe可执行文件内的恶意样本集,由凭据窃取模块、摧毁器模块及合法的,用于横向传播的PsExec模块组成。样本被运行后先通过凭据窃取模块取得本机上保存的各种登陆凭证,结合自身内部硬编码的登陆凭证,利用PsExec进行内网传播。之后,样本释放并执行摧毁器模块,对所有正在运行的系统服务尝试禁用,并且删除共享及本地目录下的所有可写文件,同时删除卷影副本及各种系统日志信息防止用户恢复文件,最后样本将关闭系统。以上操作将导致被感染系统离线、发生系统错误或者不能正常运转,将影响各种依赖于在线系统完成的业务。
攻击溯源
攻击者通过使用其他攻击者的代码或特征来迷惑分析人员,转移视线,摆脱指控。目前样本中存在的线索指向以下几个组织:
该组织当初攻击孟加拉共和国的SWIFT银行系统时,命名文件的方式为:evtdiag.exeevtsys.exe和evtchk.bat(根据BAE System)。
此次样本中使用了:%programdata%evtchk.txt。
另外,样本和之前Bluenoroff的代码逻辑相似,但由于文件名都已经公布于众,谁都可以使用,无法凭借这些特征确认攻击者身份。攻击者极有可能是利用这些明显的特征,迷惑分析人员,使其做出错误判断。
Intezer Labs表示此次样本与之前APT3 和APT10的攻击使用了相似的代码。冬奥会样本与之前APT3和APT10使用的一种工具有18.5%的相似度。然而APT3使用的工具是基于一款开源工具Mimikatz,所以相似度并不能说明什么问题。Intezer Labs还指出冬奥会样本使用了和APT10类似的AES密钥生成算法,然而这种算法只有APT10用过,这可能是攻击者疏忽的一个比较重要的线索,可以用来判断其身份。
利用Mimikatz编写的盗取用户凭证的代码在Neytya(NotPetya)中也出现过。同时,该样本也和Notpetya一样,通过滥用合法的PsExec和WMI来进行传播,并且利用一条特定的管道(pipe)来发送盗取的凭证。但是该样本并没有像NotPetya一样利用永恒之蓝(EternalBlue)和永恒浪漫(EternalRomance)进行传播,但在其代码中仍然遗留了关于SMB漏洞的痕迹。
结论
单纯的根据样本逆向分析,很难溯源和确认攻击者身份。攻击者很明显具备一定的实力,利用一些精细的信息来误导研究人员,使得他们自身身份难以被确认。由于开源工具的方便和可靠性,因此不同攻击之间使用的类似代码很有可能是用来误导分析人员的。在这个信息传播及其迅速的时代,错误的判断结论很可能给了攻击者绝佳的隐藏机会,因此对待溯源问题应该更加谨慎。
声 明
本安全公告仅用来描述可能存在的安全问题,太仓科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,太仓科技以及安全公告作者不为此承担任何责任。太仓科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经太仓科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。