Olympic Destroyer: Geopolitika i „lažne zastave“
Istraživači tvrde da je naknadna analiza Olympic Destroyer malvera otkrila pokušaje tzv. false flag operacije.
False flag ( eng. lažna zastava ) ili operacije pod lažnom zastavom predstavljaju operacije koje su dizajnirane i izvedene kako bi se sakrio pravi krivac i napad pripisao nekom drugom. Ove operacije se koriste u vojnim akcijama, ali i u poslovnom svijetu. Najpoznatiji slučaj je incident u Gleiwitzu koji se odigrao 31. avgusta 1939. godine. U ovom incidentu Nacistička Njemačka je koristeći uniforme Poljske vojske napala i ubila grupu zarobljenika koji su bili obučeni u uniforme Njemačke vojske. Incident je iskorišćen kako bi se opravdala invazija na Poljsku koja se smatra početkom Drugog svjetskog rata.
Ovakve operacije se koriste i u sajber prostoru, a dobar primjer je Olympic Destroyer malver, koji je pogodio ceremoniju otvaranja zimskih olimpijskih igara u Pjongčangu 9. februara ove godine.
Olympic Destroyer je izazvao pad sistema za štampanje ulaznica, prekid WiFi mreže, gašenje videobimova, prestanak rada skiliftova i u nekim slučajevima onemogućio TV prenos. Cisco-ov Talos tim je napravio detaljnu analizu virusa koju možete pronaći ovdje. Iako je Talos i u naknadnoj analizi objavio da zbog više kontradiktornih dokaza ne mogu odrediti autora virusa, mediji su pokušavali da ovaj napad pripišu Rusiji, Kini, Iranu, Sjevernoj Koreji, kao i nezavisnim grupama hakera.
Vitaly Kamluk, vođa istraživačkog tima iz Kaspersky Labs, predstavio je više detalja na Kaspersky Security Analyst Summit-u koji je održan u Meksiku.
„Vjerovatno nijedan sofisticiran malver nije izazvao veći broj teorija ko je autor od Olympic Destroyer-a“ rekao je Kamluk.
„Ako uzmemo u obzir politizaciju sajber prostora pogrešno pripisivanje napada može dovesti do ozbiljnih posljedica. Napadači mogu početi sa pokušajima manipulacije kako bi ispunili svoje geopolitičke ciljeve.“
„Pravo pitanje kojim se treba baviti industrija sajber bezbjednosti ne treba da bude potencijalna i stvarna šteta koju je napravio Olympic Destroyer, već porijeklo ovog malvera“. Kalmuk je izjavio da je odgovor industrije bio je katastrofalan, jer je bilo previše „upiranja prstom“.
On je dodao da su napadači izveli pandan podmetanja tuđeg DNK na mjesto zločina. „Ovo pokazuje koliko su napadači truda spremni uložiti da ostanu neotkriveni“ rekao je Kamluk.
Olympic Destroyer je sadržavao djelove koda i modus operandi koji koriste APT grupe kao što je Lazarus (povezuje se sa Sjevernom Korejom), Sofacy (povezuje se sa Rusijom), kao i grupe koje se povezuju sa Kinom kao što su Gothic Panda, MenuPass i IXESE.
On je izjavio da je jedan od uzoraka „predstavljao 100% poklapanje sa poznatim komponentama koje koristi Lazarus grupa. Kada smo pobliže pogledali ovaj uzorak shvatili smo da je u pitanju veoma sofisticiran false flag, koji je namjerno podmetnut“.
On je rekao da nije moguće identifikovati ko je autor virusa, ali je otkrio da su pronađeni misteriozni magic number-i u jednoj od funkcija. Ovi brojevi kada se postave u heksadecimalni format ispisuju DEEF BAD 7. Ovaj trag može biti slučajnost, ali može pomoći da se autor prepozna u budućnosti. Kamluk je objavio i detalje o potencijalnim inicijalnim infekcijama koje uključuju veb stranicu olimpijade, provajdera cloud usluga Atos iz Francuske i kompaniju koja je zadužena za održavanje softvera za upravljanje odmarališta u Pjongčangu i okolini.
Izvor:threatpost.com
