مراسم افتتاحیه‌ی المپیک زمستانی ۲۰۱۸ پیونگ‌چانگ با حملات بدافزاری مختل شد

المپیک زمستانی پیونگ‌چانگ که در کره‌ی جنوبی برگزار می‌شود، آخر هفته با یک حمله‌ی بدافزاری که کمی قبل از مراسم افتتاحیه‌ی روز جمعه انجام شده بود، مختل شد.

 

این حمله‌ی سایبری که با ۱۲ ساعت خاموشی وب‌گاه رسمی بازی‌های زمستانی، از کار افتادن وای‌فای در استادیوم المپیک پیونگ‌چانگ و مختل شدن تلویزیون و اینترنت در مرکز مطبوعاتی اصلی همراه شد، باعث شد شرکت‌کنندگان نتوانند بلیط‌های خود را چاپ کنند و یا اطلاعاتی از رویدادها به دست آورند.

کمیته‌‌ی سازماندهی المپیک زمستانی پیونگ‌چانگ روز یکشنبه تایید کرد که یک حمله‌ی سایبری شبکه‌ی آن مورد هدف قرار داده است که در ساعت ۸ صبح روز شنبه به وقت محلی یعنی ۱۲ ساعت پس از وقوع حمله به وضعیت عادی خود بازگشته است.

چند شرکت امنیت سایبری روز دوشنبه گزارش‌هایی منتشر کردند که نشان می‌دهد علت این اختلال بدافزار پاک‌کن «destructive» است که با استفاده از گواهی‌نامه‌های به سرقت رفته از طریق شبکه‌ی رسمی بازی‌های زمستانی منتشر می‌شود.

پژوهش‌گران سیسکو تالس این بدافزار پاک‌کن را «Olympic Destroyer» نامیدند که به جای سرقت اطلاعات عمدتاً روی از کار انداختن شبکه‌ها و سامانه‌ها و پاک کردن داده‌ها تمرکز می‌کند.

 

پژوهش‌گران تالوس در مورد نسبت دادن این حمله به گروهی خاص نظری ندارند، اما چند کارشناس امنیتی بدافزار Olympic Destroyer را به نفوذگران وابسته به کره‌شمالی، چین یا روسیه نسبت داده‌اند.

بر اساس تجزیه و تحلیل‌های صورت گرفته توسط سیسکو تالس، مهاجم اطلاعات دقیقی در مورد سامانه‌های شبکه‌ی پیونگ‌چانگ ۲۰۱۸ داشته و جزئیات فنی بسیاری در مورد زیرساخت بازی‌های المپیک مانند نام کاربری، نام دامنه، نام کارگزار، و رمز عبور در اختیار داشته است.

پژوهش‌گران گفتند: «عامل دیگری که باید در نظر گرفته شود این است که با استفاده کردن از گواهی‌نامه‌های هاردکد شده در بدافزار، این امکان وجود دارد که زیرساخت المپیک قبلاً آسیب‌دیده است تا امکان استخراج این گواهی‌نامه‌ها فراهم شود.»

بدافزار Olympic Destroyer دو سارق گواهی‌نامه‌ی مرورگر و سارق سامانه توزیع می‌کند تا گواهی‌نامه‌های مورد نیاز را به دست آورد و سپس آن‌ها را با استفاده از PsExec و ابزار مدیریت ویندوز (WMI) به سایر سامانه‌ها انتقال دهد، که این دو ابزار قانونی مدیریت ویندوز توسط مدیران شبکه مورد استفاده قرار می‌گیرند تا اقداماتی را در سایر رایانه‌های شخصی موجود در شبکه انجام دهند.

 

پژوهش‌گران اظهار داشتند که هر دو ابزار داخلی سال گذشته توسط باج‌افزار خرگوش بد و بدافزار پاک‌کن نات‌پتیا مورد سوء‌استفاده قرار گرفته‌اند.

این بدافزار پس از نصب، ابتدا تمام رونوشت‌های سایه‌ای پرونده‌ها، و پشتیبان‌های ویندوز را حذف می‌کند و حالت بازیابی را خاموش می کند و سپس گزارش‌های سامانه را حذف می‌کند تا ردپای خود را از بین ببرد و کار بازیابی پرونده را سخت‌تر کند.

در پست وبلاگی سیسکو تالوس آمده است که: «پاک کردن تمام روش‌های ممکن برای بازیابی نشان می‌دهد که این مهاجم هیچ قصدی برای استفاده از دستگاه نداشته است. تنها هدف این بدافزار تخریب میزبان و برون‌خط کردن سامانه‌ی رایانه‌ای است.»

بسیار سخت است که این حمله‌ی سایبری را به یک گروه خاص یا نفوذگران یک دولت نسبت دهیم، زیرا شواهد فنی که بیانگر چنین نتیجه‌گیری‌هایی باشند کم است و نفوذگران اغلب از روش‌هایی استفاده می‌کنند که عملیات خود را مبهم و مخفی کنند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید