Nieuws  
 

Het Global Research and Analysis Team van Kaspersky Lab heeft de resultaten gepubliceerd van onderzoek naar aanvallen door de Olympic Destroyer-malware. Dit onderzoek heeft technisch bewijs opgeleverd van een zeer geavanceerde valse vlag die door de malwareontwikkelaar in de worm is geplaatst. Dit om de aandacht van malwarejagers af te leiden van de werkelijke bron.

De Olympic Destroyer-worm heeft tijdens de Olympische Winterspelen de voorpagina van de krant gehaald. De Olympische Spelen in Pyeongchang hebben te kampen gehad met een cyberaanval die voorafgaand aan de officiële openingsceremonie IT-systemen tijdelijk heeft platgelegd. Deze aanval had uitgeschakelde monitors, geen wifi en een onbereikbare Olympische website, waardoor bezoekers geen tickets konden printen, tot gevolg. Kaspersky Lab heeft ook vastgesteld dat verschillende skiresorts in Zuid-Korea last hadden van de worm, omdat skiliften en liftpoortjes het niet meer deden. De daadwerkelijke impact van de aanvallen was weliswaar beperkt, maar de malware heeft wel laten zien dat hij verwoestend kan zijn.

De interesse vanuit de cybersecurity-industrie gaat echter niet in de eerste plaats uit naar potentiële of werkelijk geleden schade als gevolg van de Destroyer, maar naar de bron van de malware. Misschien is er wel geen enkele geavanceerde malware met zoveel hypotheses over de afkomst als Olympic Destroyer. Een paar dagen na de ontdekking waren onderzoeksteams van over de hele wereld in de veronderstelling dat deze malware aan Rusland, China en Noord-Korea kon worden toegeschreven. Dit op basis van kenmerken die eerder in verband zijn gebracht met cyberspionage- en sabotage-actoren die in deze landen zijn gevestigd of voor de regeringen van deze landen werken.

Onderzoekers van Kaspersky Lab hebben geprobeerd te doorgronden welke hackgroep achter deze malware zou zitten. Op enig moment tijdens het onderzoek zijn ze gestuit op iets wat de malware in verband bracht met Lazarus, een beruchte groep die wordt ondersteund door de staat Noord-Korea.

Deze conclusie is gebaseerd op een uniek spoor dat door de aanvallers is achtergelaten. Een combinatie van bepaalde kenmerken van de code-ontwikkelomgeving, opgeslagen in de bestanden, kan worden gebruikt als 'vingerafdruk' waarmee in sommige gevallen malware-auteurs en hun projecten kunnen worden geïdentificeerd. In het door Kaspersky Lab geanalyseerde monster leverde deze vingerafdruk een overeenkomst van 100 procent op met reeds bekende Lazarus-malwarecomponenten en geen enkele overeenkomst met andere bestanden – schoon of kwaadaardig – die al bij Kaspersky Lab bekend waren. De optelsom van andere overeenkomsten in tactieken, technieken en procedures (TTP's) heeft bij de onderzoekers geleid tot de voorlopige conclusie dat Olympic Destroyer een andere Lazarus-operatie betreft. De motieven en andere inconsistenties met Lazarus-TTP's die tijdens het onderzoek door Kaspersky Lab zijn ontdekt op de gecompromitteerde locatie in Zuid-Korea, hebben er echter voor gezorgd dat de onderzoekers het zeldzame artefact opnieuw onder de loep hebben genomen.

Na nogmaals zorgvuldig het bewijs te hebben bestudeerd en iedere functie handmatig te hebben geverifieerd, hebben de onderzoekers vastgesteld dat de functieset niet overeenkwam met de code: deze was zo gemaakt dat hij perfect aansloot bij de door Lazarus gebruikt vingerafdruk. De onderzoekers hebben hieruit geconcludeerd dat de 'vingerafdruk' van de functies een zeer geavanceerde valse vlag is, die opzettelijk in de malware is geplaatst om malwarejagers te laten denken dat ze de dader op heterdaad hebben betrapt, waardoor ze vervolgens het spoor naar de échte bron bijster waren.

De juiste attributie van Olympic Destroyer is nog steeds een groot vraagteken, simpelweg omdat het een uniek voorbeeld is van de implementatie van zeer geavanceerde valse vlaggen. Onderzoekers van Kaspersky Lab hebben echter ontdekt dat de aanvallers gebruik hebben gemaakt van de privacybeveiligingsdienst NordVPN en een hostingprovider genaamd MonoVM, die beide Bitcoins accepteren. Deze en enkele andere ontdekte TTP's zijn eerder gebruikt door de Russischtalige actor Sofacy.

Plaats op:
Datum: 12 maart 2018
Categorie: Markt en onderzoek
Bron: Kaspersky Lab
Gerelateerde artikelen  
13-04-2018 Nieuws Azië en het Midden-Oosten: broeinest nieuwe dreigingsactoren
11-08-2017 Nieuws Van zero-day exploits tot ransomware
20-08-2015 Nieuws Geavanceerde cyberspionagecampagne loert op Japanse doelwitten
15-08-2017 Nieuws Nieuwe aanvallen van hackerscollectief Lazarus
15-08-2017 Nieuws Exploit-lekken leiden tot meer dan 5 miljoen aanvallen
 
 

- partners -

 
 
 
 
 
� 2007 - 2018 Vakwereld. All rights reserved Pagina geladen in 0,32 seconden.