В пятницу, 9 февраля, во время церемонии открытия Олимпийских игр в Пхенчхане организаторы столкнулись с техническими неполадками в системах телекоммуникационной связи и Wi-Fi. Позже выяснилось, что локальную сеть атаковала зловредная программа, названная Olympic Destroyer.
Эксперты Cisco Talos изучили код Olympic Destroyer и опубликовали отчет по результатам исследования. Обозреватель Bleeping Computer выделил ключевые особенности новой угрозы.
Стиратель
Olympic Destroyer не крадет данные с атакованных хостов, а стирает их. Программа не может вывести из строя систему, поэтому удаляет важные файлы на общих дисках, что препятствует согласованной работе организаторов.
Мутации
Olympic Destroyer использует механизм самозаполнения, позволяющий ей мутировать и развиваться, продвигаясь от одного зараженного хоста к другому. Программа берет список учетных данных, найденных на локальном компьютере, и генерирует для себя новый двоичный код, который затем сбрасывается на другой компьютер той же локальной сети. Это позволяет ей собирать со временем все больше и больше конфиденциальной информации.
Уязвимость
Но подобные мутации все же не объясняют проникновения Olympic Destroyer в защищенные локальные сети. Причину раскрыла Microsoft.
Как выяснили специалисты команды Windows Defender, Olympic Destroyer проникает через уязвимость NSA EternalRomance. Эту брешь и схожую с ней EternalBlue использовали в прошлом году вирусы-вымогатели вроде Petya и Bad Rabbit.
С первой атаки прошло меньше недели. Специалисты продолжают исследовать Olympic Destroyer, поэтому со временем могут раскрыться другие особенности новой угрозы.
Источник: Bleeping Computer
