مراسم افتتاحیه المپیک زمستانی ۲۰۱۸ در کره جنوبی با حملات بدافزاری مختل شد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
مراسم افتتاحیه المپیک زمستانی ۲۰۱۸ در کره جنوبی با حملات بدافزاری مختل شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، المپیک زمستانی کره جنوبی را حمله بدافزاری که کمی قبل از مراسم افتتاحیه روز جمعه انجام شدهبود، مختل کرد.
این حمله سایبری که با ۱۲ ساعت خاموشی وبسایت رسمی بازیهای زمستانی از کار افتادن وایفای در استادیوم المپیک پیونگچانگ و مختل شدن تلویزیون و اینترنت در مرکز مطبوعاتی اصلی همراه شد، باعث شد شرکتکنندگان نتوانند بلیطهای خود را چاپ کنند و یا اطلاعاتی از رویدادها بهدست آورند.
کمیته سازماندهی المپیک زمستانی پیونگچانگ روز یکشنبه تایید کرد که یک حمله سایبری شبکه آن مورد هدف قرار دادهاست که در ساعت ۸ صبح روز شنبه به وقت محلی یعنی ۱۲ ساعت پس از وقوع حمله به وضعیت عادی خود بازگشتهاست.
چند شرکت امنیت سایبری روز دوشنبه گزارشهایی منتشر کردند که نشان میدهد علت این اختلال بدافزار پاککن «destructive» است که با استفاده از گواهینامههای به سرقت رفته از طریق شبکه رسمی بازیهای زمستانی منتشر میشود.
پژوهشگران سیسکو تالس این بدافزار پاککن را «Olympic Destroyer» نامیدند که به جای سرقت اطلاعات عمدتاً روی از کار انداختن شبکهها و سامانهها و پاک کردن دادهها تمرکز میکند.
پژوهشگران تالوس نظری در مورد نسبت دادن این حمله به گروهی خاص ندارند، اما چند کارشناس امنیتی بدافزار Olympic Destroyer را به نفوذگران وابسته به کرهشمالی، چین یا روسیه نسبت دادهاند.
بر اساس تجزیهوتحلیلهای صورت گرفته توسط سیسکو تالس، مهاجم اطلاعات دقیقی در مورد سامانههای شبکه پیونگچانگ ۲۰۱۸ داشته و جزییات فنی بسیاری در مورد زیرساخت بازیهای المپیک مانند نام کاربری، نام دامنه، نام کارگزار، و رمز عبور در اختیار داشتهاست.
پژوهشگران گفتند: «عامل دیگری که باید در نظر گرفته شود این است که با استفاده کردن از گواهینامههای هاردکد شده در بدافزار، این امکان وجود دارد که زیرساخت المپیک قبلاً آسیبدیده است تا امکان استخراج این گواهینامهها فراهم شود.»
بدافزار Olympic Destroyer دو سارق گواهینامه مرورگر و سارق سامانه توزیع میکند تا گواهینامههای مورد نیاز را به دست آورد و سپس آنها را با استفاده از PsExec و ابزار مدیریت ویندوز (WMI) به سایر سامانهها انتقال دهد که این دو ابزار قانونی مدیریت ویندوز توسط مدیران شبکه مورد استفاده قرار میگیرند تا اقداماتی را در سایر رایانههای شخصی موجود در شبکه انجام دهند.
پژوهشگران اظهار داشتند که هر دو ابزار داخلی سال گذشته توسط باجافزار خرگوش بد و بدافزار پاککن ناتپتیا مورد سوءاستفاده قرار گرفتهاند.
این بدافزار پس از نصب، ابتدا تمام رونوشتهای سایهای پروندهها، و پشتیبانهای ویندوز را حذف میکند و حالت بازیابی را خاموش می کند و سپس گزارشهای سامانه را حذف میکند تا ردپای خود را از بین ببرد و کار بازیابی پرونده را سختتر کند.
در پست وبلاگی سیسکو تالوس آمدهاست که: «پاک کردن تمام روشهای ممکن برای بازیابی نشان میدهد که این مهاجم هیچ قصدی برای استفاده از دستگاه نداشتهاست. تنها هدف این بدافزار تخریب میزبان و برونخط کردن سامانه رایانهای است.»
بسیار سخت است که این حمله سایبری را به یک گروه خاص یا نفوذگران یک دولت نسبت دهیم، زیرا شواهد فنی که بیانگر چنین نتیجهگیریهایی باشند کم است و نفوذگران اغلب از روشهایی استفاده میکنند که عملیات خود را مبهم و مخفی کنند.