21:37
11/2/2018

Zimowe Igrzyska Olimpijskie rozpoczęły się w piątek. I w piątek, jeszcze przed ceremonią otwarcia, zostały zhackowane. Padły podłączone do internetu telewizory w centrum prasowym, a kilka z serwerów trzeba było wyłączyć. To unieruchomiło oficjalną stronę internetową Igrzysk oraz sieć Wi-Fi na stadionie. Konsekwencje okazały się najpoważniejsze dla uczestników. Nie mogli pobrać zakupionych biletów i część z nich nie wzięła udziału w otwarciu.

Aktualizacja: Najnowsze informacje sugerują, że atak był ściśle ukierunkowany na infrastrukturę wykorzystywaną do obsługi Igrzysk. Do tego stopnia, że złośliwe oprogramowanie wykorzystane w ataku miało zapisane w swoich plikach konfiguracyjnych konkretne nazwy maszyn i hasła poszczególnych serwerów. Szczegóły w aktualizacji na końcu tego artykułu.

Organizatorzy dziś potwierdzili, że “problemy techniczne” w trakcie otwarcia Zimowych Igrzysk Olimpijskich w Pjongczangu były skutkiem ataku komputerowego. Jednocześnie zapewniono, że “żadne krytyczne systemy nie zostały naruszone”, a wszystkie negatywne skutki ataku usunięto po 12 godzinach, w sobotę rano. Organizatorzy niczego więcej powiedzieć nie chcą, twierdząc że milczenie to “międzynarodowa praktyka po ataku”.

Pomimo tego enigmatycznego oświadczenia, informacje jakie nieoficjalnie pozyskali dziennikarze obecni na miejscu sugerują, że Komitet Organizacyjny (na marginesie, jego anglojęzyczny akronim to “IOC”) wie, kto stoi za atakiem, ale z jakiegoś powodu Komitet nie chce ujawniać tej informacji:

We decided with the IOC we are not going to reveal the source (of the attack)

Co ciekawe, choć Komitet Organizacyjny nie wskazuje palcami na źródło ataku, to ni z tego, ni z owego odezwała się Rosja. Jej minister ds. zagranicznych wydał już wydał dementi, podkreślające że to nie Rosja stoi za atakami:

“Wiemy, że zachodnie media planują pseudo-śledztwa które mają na celu wykazać, że ślady tego ataku prowadzącą do Rosji, ale oczywiście żadne dowody nigdy nie zostaną zaprezentowane.”

To ubiegające fakty oświadczenie Rosji nie jest wcale takie niespodziewane. Mniej zainteresowanym sportem czytelnikom przypomnijmy, że Rosjanie zostali “zabanowani” tych Igrzyskach. Powodem wykluczenia było stosowanie przez rosyjskich sportowców dopingu 4 lata temu, na Igrzyskach w Soczi. Po gorących negocjacjach, Komitet Organizacyjny tegorocznych Igrzysk w Pjongczangu częściowo “odbanował” Rosjan, pozwalając niektórym sportowcom na udział w Igrzyskach, ale z pewnymi ograniczeniami:

    – zakaz używania rosyjskiej flagi (reprezentacja na otwarciu niosła flagę olimpiady)
    – zakaz barw narodowych Rosji na strojach
    – brak odgrywania hymnu Rosji

Podsumowując, wielu Rosjan czuje się mocno urażonych decyzją międzynarodowego komitetu organizacyjnego. A jak miś jest zły, to wiadomo co miś robi w “cyberprzestrzeni”…

Choć piątkowe ataki to najprawdopodobniej zwyczajny DDoS na serwery DNS, to warto zwrócić uwagę, że to nie pierwsze ataki na infrastrukturę związaną z Igrzyskami Olimpijskimi w Pjongczangu.

Antydopingowe Misie atakują

Już we wrześniu 2016 roku odnotowano pierwsze ataki na firmy i instytucje związane z organizacją Zimowych Igrzysk Olimpijskich w Pjongczangu oraz organizacje sportowe różnych krajów. Co nie powinno być dla nikogo zaskoczeniem, badaczom udało się powiązać ataki z grupą Fancy Bear (APT28), czyli rosyjskim wywiadem wojskowym (tym samym, który zhackował Demokratów przed amerykańskimi wyborami prezydenckimi).

Powód ataków? Pozyskanie dokumentacji, która pokazałaby, że zachodni sportowcy tak samo jak Rosjanie korzystają z dopingu. Rezultat? Ataki były udane. Włamywacze upublicznili dokumenty wykradzione m.in. z Światowej Organizacji Antydopingowej, oczerniając amerykańskich sportowców, m.in Serenę Williams, poddając w wątpliwość pozwolenia jakie posiadali na stosowanie różnych leków.

Kolejne z wykradzionych i opublikowanych przez nich dokumentów ujawniły napięcia pomiędzy różnymi frakcjami politycznymi w Międzynarodowym Komitecie Organizacyjnym oraz wyśmiewały pozwolenia na używanie lekarstw na astmę, jakie wydano Szwedom. I choć wszystkie te dokumenty nie ujawniały żadnych afer ani nie stanowiły żadnych dowodów na to, że ktokolwiek, gdziekolwiek złamał prawo tak mocno jak zrobili to Rosjanie regularnie nadużywający dopingu, to sympatycy Rosji dostali kilka argumentów do walki o swoich sportowców.

Co ciekawe, Rosja była już raz zabanowana na Letnich Igrzyskach Olimpijskich. W 1984 roku. W tamtych czasach się nie hackowało, więc KGB zastosowało inną metodę niż oczernianie przeciwników wykradzioną dokumentacją medyczną. Rosjanie rozesłali fałszywe ulotki Ku-Klux Klanu zawierające groźby kierowane pod adresem 20 reprezentacji z Azji i Afryki.

Operacja Złoty Smok

Kolejna fala ataków nastąpiła pod koniec 2017. W grudniu wiele z firm i organizacji zaangażowanych w przygotowania do Igrzysk Olimpijskich było celem operacji “GoldenDragon”, czyli serii ataków spear phishingowych i sprofilowanych e-maili ze złośliwymi załącznikami Worda.

Badaczom udało się dostać do logów serwera Command & Control dla złośliwego oprogramowania i potwierdzono, że kampania miała kilka ofiar.

Należy się spodziewać kolejnych ataków

Powyższe ataki to zapewne nie wszystko o czym wiadomo i jeszcze sporo nas czeka. Igrzyska dopiero się rozpoczęły. Czy Rosja dalej będzie chciała “wywierać nieformalną presję” na Komitet Organizacyjny? Jest o co walczyć, np. aby pozwolono Rosjanom wystąpić w narodowych barwach na ceremonii zamknięcia.

Warto też odnotować, że celem przestępców i wspieranych przez rząd grup hackerów mogą być nie tylko firmy i organizacje zaangażowane w organizację Igrzysk. Zwykli uczestnicy także są narażeni na ataki. Amerykańskie służby wystosowały ostrzeżenie do Amerykanów, którzy wybierają się na Igrzyska Olimpijskie do Korei Południowej. Bo dziś prawie każdy ma ze sobą elektronikę i sama wioska olimpijska jest jej pełna. Czy możliwe jest zdalne wyłączenie świateł i wywołanie paniki? A może przejęcie kontroli nad setkami dronów? Specjalna grupa w USA zdalnie monitoruje “cyberbezpieczeństwo” igrzysk.

Jak informuje Reuters, kilku sponsorów jeszcze przed Igrzyskami Olimpijskimi przeczuwało, że będzie “gorąco” i z tego względu zainwestowało w dodatkowe zabezpieczenia przed atakami komputerowymi.

Rozsądna to decyzja i rozsądne są ostrzeżenia. W jednym miejscu spotyka się sporo krajów, często o różnych poglądach na wiele spraw. Niektórzy zrobią wszystko, aby ich przeciwnicy (nie tylko na warstwie sportowej, ale również politycznej) zostali skompromitowani w oczach świata. Wygląda na to, że nieoficjalnie, w tych Igrzyskach Olimpijskich mamy jeszcze jedną dyscyplinę sportową. Cyberbezpieczeństwo. Kto stanie na podium ofiar?


Aktualizacja 12.02.2018, 21:00
Nie minęła doba i mamy nowe informacje, które pochodzą od zespołu badaczy bezpieczeństwa Cisco. I są one bardzo ciekawe. Poddane analizie złośliwe oprogramowanie, które najprawdopodobniej zostało wykorzystane w tym ataku, jest nastawione nie na wykradanie danych, a na unieruchamianie systemów. I robi to w sprytny sposób, bardzo podobny do działania rosyjskiego robaka Petya.

W skrócie, do propagacji użyto tablice ARP zainfekowanego hosta oraz PsExec i WMI (“SELECT ds_cn FROM ds_computer”). I teraz najciekawsze — w kodzie robaka zaszyto poprawne nazwy serwerów, 44 kont i haseł (!):

fot. Talos

fot. Talos

Wszystko wskazuje na to, że atakujący tę wiedzę pozyskali odpowiednio wcześniej. Po udanym zagnieżdżeniu w systemie robak wykrada kolejne hasła, zarówno te systemowe (atak ala Mimikatz) jak i zapisane w pamięci przeglądarek. A potem bierze się do niszczenia maszyny. Najpierw usuwa kopie “shadow” i za pomocą wbadmina utrudnia odzyskanie poszczególnych plików:

C:\Windows\system32\cmd.exe /c c:\Windows\system32\vssadmin.exe delete shadows /all /quiet
C:\Windows\system32\cmd.exe /c wbadmin.exe delete catalog -quiet

Później wyłączana jest konsola “recovery” i czyszczone są logi:

C:\Windows\system32\cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
C:\Windows\system32\cmd.exe /c wevtutil.exe cl System
C:\Windows\system32\cmd.exe /c wevtutil.exe cl Security

Na koniec złośliwe oprogramowanie wyłącza wszystkie usługi na systemie, kasuje dane na podmontowanych zasobach sieciowych i w końcu wyłącza system. Teraz jest pewne, że po restarcie nic nie wstanie i niczego nie będzie się dało odzyskać.

Wektor infekcji jest póki co nieznany. Być może atakujący mieli wcześniej dostęp i tylko czekali na zdetonowanie swojego robaka. A może wszystko zaczęło się od wetknięcia dysku USB na jakimś z komputerów udostępnionych prasie? Na miejscu jest wiele osób z wielu krajów…


Aktualizacja 15.02.2018, 09:30
Inni badacze sugerują, że to robota Północnej Korei bo jest pewne podobieństwo (evtchk):

Z kolei firma Intezer specjalizująca się w wynajdywaniu podobnieństw w kodzie, zauważyła że Olympic Destroyer korzysta z kodu widzianego w złośliwym oprogramowaniu z jakiego korzystały Chiny: APT3, APT10, APT12:

Kto więc stoi za atakiem? Rosja? Chiny? Północna Korea? A może ktoś, kto po prostu przeanalizował złośliwe oprogramowanie tych krajów stosowane w poprzednich atakach i na jego podstawie skomponował własnego robaka? Taki mały false flag operation…

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. A wystarczyłoby zrobić 2 olimpiady zamiast jednej i niech ci co biorą leki uczestniczą w jednej, a ci co nie biorą w drugiej i sami mogą wybrać gdzie będą brać udział i byłoby po problemie. W tej pierwszej nie badać nawet antydopingowo, a w tej drugiej nie przyjmować wyjaśnień o chorobach.

    • Ufam temu grzybu

    • Tak też można banować graczy. Na jednych serwerach grają *tylko* ci z oszustwami, serwery będą miały wyłączony anti-cheat, a na reszcie, normalni gracze.

    • Ale przecież w dziedzinie gier już się dawno tak robi, że są serwery z cheatami i te bez. Zrobić podobnie olimpiady i nie mówić zaraz o paraolimpiadach – te zostawić niepełnosprawnym.

  2. Lekomani powinni brać udział w paraolimpiadzie.

    • Czemu chcesz w ten sposób karać uczciwych paraolimpijczyków i odbierać im szansę na zwycięstwo każąc rywalizować z pełnosprawnymi sportowcami, do tego na “dopalaniu” lekowym??

  3. Ja akurat również znajduję jako zastanawiające, czemu w kraju, gdzie ponad 80% energii produkuje się z atomu, jest tylu sportowców z astmą. Czyżby to była choroba zbyt dużej czystości? Ale to akurat nie ma sensu, szczególnie że w Szwecji wcale nie jest tak czysto. Poza tym już w Finlandii takiej ilości sportowców na “sterydach” w lekach przeciw astmie nie znajdziemy.

  4. 2137 :)

  5. Nie żebym był przeciw windowsom, ale pewne systemy nie są dostosowane do tego, aby być infrastrukturą w ważnych wydarzeniach. Pomyślano o atakach, wydano kasę, a tam dalej to samo.

    • A może wystarczyło rotować hasła odpowiednio często? Skoro zaszyto je w kodzie to musiały być znane dawno tenu i nigdy nie zmieniane :-\
      Brak wyobraźni i poczucia, że “i nam mogą coś zrobić”, niestety …

  6. Całe te olimpiady już dawno polegają tylko na tym, kto się nie da złapać na dopingu :D.
    Dużo ciekawsze już są te ataki, większe emocje i domysły, co tym razem cyberspryciarze wymyślą :D

  7. “Jest o co walczyć, np. aby pozwolono Rosjanom wystąpić w narodowych barwach na ceremonii zamknięcia.” – chodzi o pytanie czy Komitet Olimpijski zmieni zdanie pod presją nacisków Rosyjskich “terrorystów”?

  8. z tym dementi normalnie jak w tym sucharze :)

    Dzwoni Osama Bin Laden do Busha:
    – Panie prezydencie, chciałbym złożyć kondolencje, to straszna tragedia, tylu ludzi, takie wspaniałe budynki… Chce zapewnić, że nie mamy z tym nic wspólnego…
    – Jakie budynki? Jacy ludzie?
    – A która tam u was godzina?
    – Ósma.
    – Ups… To ja zadzwonię za pół godziny.

    • “… ale oczywiście żadne dowody nigdy nie zostaną przedstawione – już my o to zadbaliśmy!”

  9. Jedna uwaga, nikt ZSRR nie “zabanował” w 1984. Reprezentacja ZSRR, w ramach retorsji za nieobecność USA i innych państw zachodnich podczas Letnich Igrzysk Olimpijskich 1980 w Moskwie, sama się wycofała. W ślad za nią poszła większość krajów ówczesnego bloku socjalistycznego, w tym Polsa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.