Го в Телеграм, мы создалиВ пятницу, 9 февраля, во время церемонии открытия Олимпийских игр в Пхенчхане организаторы столкнулись с техническими неполадками в системах телекоммуникационной связи и Wi-Fi. Позже выяснилось, что локальную сеть атаковала зловредная программа, названная Olympic Destroyer.
Эксперты Cisco Talos изучили код Olympic Destroyer и опубликовали отчет по результатам исследования. Обозреватель Bleeping Computer выделил ключевые особенности новой угрозы.
Стиратель
Olympic Destroyer не крадет данные с атакованных хостов, а стирает их. Программа не может вывести из строя систему, поэтому удаляет важные файлы на общих дисках, что препятствует согласованной работе организаторов.
Our post has been update to include the impact on network shares — Shocker — they are effectively wiped: Olympic Destroyer Takes Aim At Winter Olympics with indications of prior compromise — https://t.co/NoD5la9m7r #OlympicDestroyer @SecurityBeard @r00tbsd @TalosSecurity
— Craig Williams (@security_craig) February 12, 2018
Мутации
Olympic Destroyer использует механизм самозаполнения, позволяющий ей мутировать и развиваться, продвигаясь от одного зараженного хоста к другому. Программа берет список учетных данных, найденных на локальном компьютере, и генерирует для себя новый двоичный код, который затем сбрасывается на другой компьютер той же локальной сети. Это позволяет ей собирать со временем все больше и больше конфиденциальной информации.
I updated our #OlympicDestroyer post. The malware has the capability to generate new binaries with the stolen credentials (by patching the PE). The list in the screenshot comes from previous executions and was not created by the devevelopers themself https://t.co/VwkNNSI06Q
— Paul Rascagnères (@r00tbsd) February 13, 2018
Уязвимость
Но подобные мутации все же не объясняют проникновения Olympic Destroyer в защищенные локальные сети. Причину раскрыла Microsoft.
Как выяснили специалисты команды Windows Defender, Olympic Destroyer проникает через уязвимость NSA EternalRomance. Эту брешь и схожую с ней EternalBlue использовали в прошлом году вирусы-вымогатели вроде Petya и Bad Rabbit.
Fresh analysis of the #cyberattack against systems used in the Pyeongchang #WinterOlympics reveals #EternalRomance SMB exploit. #WindowsDefenderAV detects attack components as Trojan:Win32/Samcrex.
— Windows Defender Security Intelligence (@WDSecurity) February 13, 2018
С первой атаки прошло меньше недели. Специалисты продолжают исследовать Olympic Destroyer, поэтому со временем могут раскрыться другие особенности новой угрозы.
Источник: Bleeping Computer
