Malware Olympic Destroyer zaútočil na olympijské hry

Hned po útoku se především v zahraničních médiích začaly objevovat spekulace o pravděpodobném viníkovi. Nejlepší motiv ze všech měl Kreml, který by se tímto činem mohl pomstít za trest od antidopingové komise, podle něhož nemohli ruští reprezentanti sportovat pod vlajkou své země a byli přinuceni startovat jako Olympijští sportovci z Ruska. Veřejnosti však žádné důkazy nebyly předloženy, takže šlo jen o pouhé spekulace.

Bezpečnostní incident začalo vyšetřovat kyberbezpečnostní oddělení Talos společnosti Cisco. To označilo malware, který byl podle všeho zodpovědný za útoky, a také ho příhodně pojmenovalo jako Olympic Destroyer (olympijský ničitel). Malware měl některé rysy společné s již „populárními“ malwary NotPetya a BadRabbit. Jeho hlavním cílem však nebyla krádež dat, snažil se poškodit systém. Mimo to také mazal data, ale neomezil se pouze na originální soubory, odstranil i jejich zálohy, takže část dat nebylo možné obnovit. Pracovníci Cisco Talos došli k závěru, že tvůrce malwaru Olympic Destroyer musel dobře znát infrastrukturu Olympijských her. Musel znát uživatelské jméno, ale i jména domény, serveru a možná i heslo. První nakažený počítač ani způsob, jakým se malware šířil, však ještě nebyl vyšetřen.

Jak Olympic Destroyer postupoval?

Podle vyšetřující společnosti Cisco Talos hackeři využili údaje o síti, k nimž přišli při nějakém předchozím útoku. Malware potřeboval ke svému rozšíření uživatelská jména a hesla. K tomu, aby je získal, využil dvou „zlodějů“. Jeden ukradl data z prohlížeče a druhý ze systémů připojeného k infikovanému počítači. Po infiltraci do sítě, k níž bylo zneužito 44 uživatelských účtů, pak mohl skutečný útok začít. Malware údajně neměl ani v úmyslu opustit dané počítače, když byly ještě funkční. Útok však mohl být mnohem horší. Systémy sice byly smazány, ale malware se naštěstí nepustil do mazání hlubších vrstev počítače jako bootování apod.

Bezpečnostní společnost CrowdStrike nedávno oznámila, že postupy při tomto útoku velmi připomínají ruskou hackerskou skupinu Fancy Bear. Ta se podílela například na útocích během amerických prezidentských voleb, obzvláště úniku dat Demokratů. Koncem loňského roku zachytila společnost CrowdStrike, že někdo shromažďoval informace o mezinárodním sportovním sektoru. Pravděpodobně šlo opět o skupinu Fancy Bear, ale spojitost mezi shromažďováním informací a útokem na ZOH v Pchjongčchangu se zatím nenašla.