2018/02/16 16:51:53

Olympic Destroyer (вирус)

.

2018: Взлом ИТ-систем Atos

В середине февраля 2018 года стало известно о том, компьютерные системы компании Atos, которую СМИ называют главным ИТ-поставщиком Олимпиады в Пхенчане, были взломаны еще за два месяца до начала игр.

По данным издания CyberScoop, вирус под названием Olympic Destroyer проник в ИТ-инфраструктуру Atos в декабре 2017 года. Информация о первых образцах вредоносной программы была размещена в репозиторий VirusTotal неизвестными пользователями из Франции, где располагается штаб-квартира компании, а также из Румынии, где работают некоторые специалисты по информационной безопасности.

Компьютерные системы главного ИТ-партнера Олимпиады взломали за два месяца до Игр

Atos развернула для Олимпийских игр в Южной Корее облачную инфраструктуру, отмечает источник.

По данным Cisco, Olympic Destroyer может удалять критические для работы Windows системные сервисы, вмешиваться в процедуры восстановления данных. Так, после атаки зараженное устройство может перестать загружаться вовсе. Вирус умышленно ищет и стирает файлы, размещенные в сетевых папках, которые возможно и не являются необходимыми для работы операционной системы, однако определенно могут представлять ценность для организаторов Олимпийских игр.Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250 т

Важно, что в Olympic Destroyer заложен интересный механизм самоизменения, благодаря которому программа меняется и эволюционирует на каждом хосте. Olympic Destroyer извлекает учетные данные из браузеров и операционной системы, комбинирует эту информацию со списком жестко закодированных логинов и паролей, которые использует для дальнейшего распространения по сети.

«
Зловред носит деструктивный характер и предназначен для того, чтобы сделать компьютер непригодным к использованию, — пояснили в отчете Уоррен Мерсер (Warren Mercer) и Поль Расканьерес (Paul Rascagneres), эксперты из подразделения Cisco Talos.
»

Кибератака с использованием Olympic Destroyer произошла во время церемонии открытия Игр, в результате чего официальный сайт Олимпиады перестал работать в течение нескольких часов и нельзя было купить билеты на спортивные состязания. Также сообщалось, что локальные беспроводные сети Wi-Fi рядом с местом проведения церемонии временно не работали.

Эксперты по безопасности считают, что вирус должен был была внести хаос и сумятицу, а также дискредитировать спортивное мероприятие.

В Atos подтвердили атаку на свои системы, но заверили, что она не вызвала критический сбой в Олимпийских играх. Изучив вирус, в Atos и McAfee лишь сообщили, что злоумышленники сильно закодировали данные во вредоносной программе, поэтому нельзя понять, откуда было совершено это нападение.[1]

Обозреватели CyberScoop предполагают, что киберпреступники, участвовавшие в атаке на серверы Игр 9 февраля, заранее подготовили для себя почву, проведя «обширную операцию по кибершпионажу». Опрошенные порталом эксперты говорят, что во фрагментах кода вируса можно обнаружить такие детали, как похищенные имена пользователей, пароли и личные адреса электронной почты сотрудников Atos, а также конфиденциальные внутренние имена доменов и различные сведения о конфигурации сети.

Издание отмечает, что проникновение в ключевую ИТ-инфраструктуру компании, подобной Atos, позволило хакерам провести важные разведывательные действия. Атака на системы производителя, к которым подключена хорошо защищенная организация, вроде Международного олимпийского комитета (МОК), с целью взлома последней является общей тактикой, которую применяют как преступные группировки, так и правительства стран.

Хотя на 100% не доказано, что злоумышленники воспользовались несанкционированным вторжением в Atos, чтобы повлиять на организацию Олимпиады, доказательства таких покушений иллюстрируют риски, связанных с использованием сторонних сервисов хранения данных и размещением приложений в облаке.

Примечания