«Лаборатория Касперского» расследовала кибератаки на Олимпиаду в Корее - Бизнес портал Finance Time







   
1 USD 1,7000    1 EUR 1,8485    1 RUB 0,0188    1 TRY 0,0558    XAU 3493,7125    XAG 39,3658    XPT 1559,2655    XPD 1653,4200   
           
/ Обозначения Валют

 

 

 












В мире


«Лаборатория Касперского» расследовала кибератаки на Олимпиаду в Корее
13.03.2018

«Лаборатория Касперского» выяснила, что за атаками на IT-инфраструктуру Олимпийских игр в Пхёнчхане стояла совсем не та кибергруппировка, на которую указывали все следы. Новый метод атрибуции вредоносного ПО позволил экспертам компании определить, что оставленные злоумышленниками метки были ложными и намеренно сбивали исследователей с верного следа.

Червь OlympicDestroyer смог на время парализовать олимпийские IT-системы незадолго до церемонии открытия Игр. Зловред вывел из строя экранные мониторы, Wi-Fi сеть и официальный сайт Олимпиады, из-за чего болельщики не могли распечатать билеты. Кроме того, от OlympicDestroyer пострадало несколько горнолыжных курортов в Южной Корее – из-за кибератак там не работали турникеты и подъёмники.

Однако экспертов по кибербезопасности этот зловред заинтересовал, прежде всего, своим происхождением. Спустя несколько дней после обнаружения OlympicDestroyer разные исследователи утверждали, что за ним стоят атакующие из России, Китая или Северной Кореи. Эксперты «Лаборатории Касперского» поначалу склонялись к последнему варианту, поскольку некоторые части кода этого червя на 100% совпадали с компонентами, использовавшимися известной кибергруппировкой Lazarus, имеющей северокорейское происхождение. Кроме того, в атаках OlympicDestroyer применялись те же техники и процессы, которые ранее встречались в операциях Lazarus.

Однако при расследовании инцидентов непосредственно на месте в Южной Корее аналитики «Лаборатории Касперского» обнаружили ряд несоответствий между OlympicDestroyer и Lazarus. Это заставило их ещё раз более внимательно изучить зловред, в частности те файлы, в которых содержались комбинации некоторых функций среды разработки кода (исследователи считают их своего рода «отпечатками», указывающими на создателей вредоносного ПО). В итоге выяснилось, что те компоненты кода OlympicDestroyer, которые совпадали с кодом ПО Lazarus, на самом деле были искусно подделаны таким образом, чтобы максимально соответствовать особенностям северокорейской группировки.

«Насколько мы знаем, подобного рода доказательства, которые нам удалось собрать, никогда раньше не использовались для атрибуции атак. И всё же злоумышленники решили оставить их, предполагая, что кто-то их найдёт. Скорее всего, они рассчитывали на то, что доказать факт подделки этого артефакта будет очень сложно. Это – как если бы преступник украл чей-то образец ДНК и оставил его на месте преступления вместо собственных следов. Однако мы поняли и доказали, что в случае с OlympicDestroyer обнаруженная «ДНК» была оставлена там намеренно, – поясняет Виталий Камлюк, руководитель исследовательского центра «Лаборатории Касперского» в Азиатско-Тихоокеанском регионе. – Вся эта ситуация демонстрирует, как много усилий атакующие прикладывают, чтобы оставаться неопознанными. Мы всегда говорили, что атрибуция в киберпространстве – крайне сложная вещь, поскольку подделать можно всё что угодно. И OlympicDestroyer – очередное тому подтверждение».

«Однако из этой истории можно сделать ещё один вывод: к вопросам атрибуции нужно подходить крайне серьёзно. В условиях, когда киберпространство стало столь политизированным, неверная атрибуция может повлечь за собой серьёзные последствия. А организаторы атак могут начать манипулировать мнениями в сообществе по кибербезопасности, чтобы повлиять на геополитическую обстановку в мире», – добавил Виталий.

Кто на самом деле стоит за киберинцидентами, случившимся во время последней зимней Олимпиады, достоверно пока неизвестно. Во многом это связано с тем, что этот случай является уникальным примером внедрения ложных меток такой высокой сложности. Однако эксперты «Лаборатории Касперского» выяснили, что атакующие использовали обеспечивающий конфиденциальность сервис NordVPN и хостинг-провайдер MonoVM, которые принимают к оплате биткойны.

Решения «Лаборатории Касперского» успешно детектируют и блокируют вредоносное ПО OlympicDestroyer.


     



06.11.2024
Анжела Рамазанова
Основатель клуба для женщин “Women Bankers club”
08.06.2024
Мехрибан Атакишиева
Руководитель проекта “Happy Woman Baku”
30.04.2024
Севда Хагвердиева
Президент Фонда «Red Hearts»
22.04.2024
Кямаля Эйнуллаева
Учредитель La Aristocratie Jewellery
 
15.04.2024
Фаргана Маммадова
Член Правления Капитал Банка, Главный директор по организационному развитию и человеческому капиталу, Член правления «SOS Детские Деревни - Азербайджана»
     



16.07.2024
Нариман Асадов
Руководитель команды инноваций Kapital Bank
16.01.2024
Нурана Алиева
Руководитель компании по организации мероприятий «Aliyevents»
06.12.2022
Рамиль Имамов
Главный директор по розничным продажам Kapital Bank
12.10.2022
Илькин Гулиев
Член Правления АccessBank-а
 
16.02.2022
Давит Циклаури
Председатель Правления AccessBank
08.02.2021
Вюсал Гёзалов
Руководитель Джалилабадского филиала “AccessBank”-a
08.06.2020
Андреа Хагманн
Член Наблюдательного Совета “AccessBank”
24.02.2020
Анар Гасанов
Председатель Правления “AccessBank”-а


Company
About
Partners
Support
Products
Business catalog
Interview
Expert
Rating
Payment