Eröffnung der Olympischen Winterspiele in Pyeongchang unterbrochen durch Malware-Angriff

Tongas Flaggenträger bei den Olympischen Winterspielen 2018 in Pyeongchang war möglicherweise nicht in der Lage, rechtzeitig ein Trikot von der offiziellen Website der Spiele zu bestellen, da die Netzwerke der Olympischen Spiele durch Wiper-Malware zum Erliegen gekommen sind.Enlarge / Tongas Fahnenträger im Winter 2018 in Pyeongchang Die Olympischen Spiele konnten möglicherweise kein Trikot von den Spielen bestellen. offizielle Website rechtzeitig, dank Wiper Malware bringen die Olympische Netze ausgefallen.Steve Russell / Getty Images

Das Organisationskomitee der Olympischen Winterspiele in Pyeongchang bestätigt Am Sonntag, dass ein Malware-Angriff für Störungen verantwortlich war das olympische Netzwerk vor und während der Eröffnungsfeier am Freitag. Kurz vor der Eröffnungsfeier wurde die offizielle Website für Die Winterspiele gingen zu Ende und die Teilnehmer konnten nicht drucken Tickets für Veranstaltungen oder Informationen zum Veranstaltungsort. Die Seite war nicht bis 8 Uhr Samstagmorgen restauriert. Mehrere Netzwerke sind ausgefallen, einschließlich des Wi-Fi-Netzwerks im Stadion und des Netzwerks in der Olympisches Pressezentrum.

Die Ursache war ein offensichtlicher Malware-Angriff, der sich ausgebreitet hatte im gesamten offiziellen Netzwerk der Pyeongchang-Spiele mit gestohlen Referenzen. Das Netzwerk wurde erst um 8.00 Uhr vor Ort vollständig wiederhergestellt Zeit am Samstag, volle 12 Stunden nach Beginn des Angriffs Wächter berichtet.

In einem Blogbeitrag haben Cisco Talos Intelligence-Forscher heute Warren Mercer und Paul Rascagneres enthüllten, dass Talos hatte hat (“mit mittlerer Sicherheit”) einen Teil der Malware identifiziert, die in verwendet wird der Angriff. Es wurde nicht festgestellt, wie die Malware war in das Netzwerk eingeführt, aber die Binärdateien von Talos untersucht zeigte der Angreifer hatte intime Kenntnisse des Pyeongchang Netzwerk-Systeme.

“Der Malware – Autor kannte viele technische Details der Infrastruktur für Olympische Spiele wie Benutzername, Domainname, Server Name und natürlich Passwort “, schrieben Mercer und Rascagneres.” Wir identifizierte 44 einzelne Konten in der Binärdatei. “Einige davon waren ziemlich generische Benutzernamen, aber andere waren für bestimmte Benutzer oder Software-Agenten.

Die Malware “Dropper” verwendet diese Anmeldeinformationen und installiert Web Browser- und Betriebssystem-Zugangsdaten, die Malware stehlen, um sie zu sammeln Logins und Passwörter anderer Benutzer, um sich selbst zu verbreiten über das Netzwerk. Die Talos-Forscher stellten fest, dass Elemente von Die Malware, die zum Sammeln von Anmeldeinformationen von Zielsystemen verwendet wird nutzte den gleichen Kommunikationskanal zwischen den Prozessen wie das Bad Kaninchen – Cryptoransomware und NotPetya – Wischer – Angriffe im letzten Jahr (die Channel wird verwendet, um Benutzernamen und Passwörter an den Server zurückzugeben Dropper-Code).

Der Dropper suchte nach anderen Systemen, um ein Ziel zu erreichen, indem er a WMI-Anforderung (Windows Management Instrumentation) zum Auflisten aller Systeme innerhalb desselben Active Directory-Baums und durch Überprüfung ARP-Tabelle (TCP / IP Address Resolution Protocol) von Windows mit a Windows-API-Anforderung.

Sobald der Dropper Ziele gefunden und erfolgreich verbunden hatte Für sie verwendete die Malware das PsExec-Tool – ein legitimes Windows Verwaltungstool, das der Dropper installiert hat – zur Remote-Ausführung ein Visual Basic Script (VBScript) auf den Zielsystemen, die kopierte sich zu ihnen und startete den Prozess erneut.

Die Wiper-Malware, die vom Dropper verbreitet wurde, hat ihre bösartige versteckt Aktivität, indem Sie alles über den Windows-Befehl ausführen Interpreter, cmd.exe – Löschen aller “Schatten” -Kopien von Dateien und Windows-Sicherungskataloge, Deaktivieren des Wiederherstellungsmodus beim Starten von Windows Konfigurationsdatenspeicher und dann Herunterfahren aller Dienste und Markieren Sie sie als deaktiviert. Die Malware löscht dann die Sicherheit und Systemprotokolle, um seine Spuren zu verwischen.

Der Angriff scheint speziell für diesen Zweck entwickelt worden zu sein die olympischen Organisatoren in Verlegenheit bringen, indem sie die Eröffnung des Spiele, da es keine Hinweise darauf gab, dass Daten aus dem Internet gestohlen wurden Netzwerk in den Prozess. Die Art der Malware legt nahe, gut erweiterte Nachrichtensammlung, möglicherweise auch im Inneren Kenntnis der Systeme des Pyeongchang-Organisationskomitees und a professionelles Team für die Entwicklung mit gut etablierten Techniken und Werkzeuge. Wer würde genau zu diesem Profil passen – und wer möchte die Olympischen Winterspiele stören – bleibt als Gedanke Übung für den Leser.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: