Wichtige Urteile

• Aufgrund der zerstörerischen Natur dieser Schadsoftware und ihrer wirksamen Mechanismen zur lateralen Verbreitung ist beim Olympic Destroyer ein hohes Maß an Vorsicht geboten.
• Kommentare und Analysen zu Ähnlichkeiten im Schadsoftwarecode mit Olympic Destroyer haben viele Hinweise erbracht, jedoch keine eindeutige Zuordnung.
• Das gleichzeitige Auftreten unterschiedlicher Code-Überschneidungen in der Schadsoftware könnte auf eine Operation unter falscher Flagge hinweisen, bei der versucht wurde, Beweise zu verwässern und Forscher zu verwirren.

Executive Summary

Ein großer Telekommunikations- und IT-Anbieter wurde im Rahmen einer Operation zur Störung der Olympischen Spiele in PyeongChang von einem unbekannten Bedrohungsakteur ins Visier genommen. Recorded Future hat fest codierte Anmeldeinformationen für den IT-Anbieter identifiziert, die in der in dieser Kampagne verwendeten Schadsoftware „Olympic Destroyer“ eingebettet sind. Kleine Code-Überschneidungen bringen die Schadsoftware mit zahlreichen, unterschiedlichen Bedrohungsgruppen in Verbindung, was letztlich nicht dabei hilft, den Bedrohungsakteur zu identifizieren, der für die Entwicklung der Schadsoftware „Olympic Destroyer“ verantwortlich ist.

Hintergrund

Ein großer Telekommunikations- und IT-Anbieter geriet im Zuge eines Angriffs auf die Olympischen Spiele in PyeongChang vor Dezember 2017 ins Visier eines unbekannten Bedrohungsakteurs.

Die Malware, die allgemein als Olympic Destroyer bezeichnet wird, wurde ursprünglich von Talos-Forschern identifiziert. Forscher haben die Theorie aufgestellt, dass der Olympic Destroyer verwendet wurde , um die Eröffnungsfeier der Olympischen Spiele am 9. Februar zu stören. Die zerstörerische Malware bewegt sich über Psexec und WMI lateral innerhalb eines Netzwerks, um Hosts zu infizieren und deren Daten unbrauchbar zu machen. Psexec und WMI sind integrierte interne Windows-Tools. Psexec wird verwendet, um Prozesse auf anderen Systemen in einem gemeinsam genutzten Netzwerk auszuführen, und WMI wird verwendet, um Aufgaben auf Remote-Systemen zu automatisieren. Die Malware verwendet auch Mimikatz, ein Tool zum Stehlen von Passwörtern, um Anmeldeinformationen von einem kompromittierten Computer zu extrahieren und ihm so die Übertragung über das Zielnetzwerk zu ermöglichen. Microsoft-Forscher gaben an , dass es auch Beweise für die Verwendung von EternalRomance gibt, einem durchgesickerten Exploit, der kürzlich von Ransomware als Verbreitungsmethode missbraucht wurde, aber wir konnten diese Behauptung nicht überprüfen.

Bedrohungsanalyse: Eine zweigleisige Kampagne

Recorded Future hat mithilfe eines zusätzlichen Satzes von Active Directory-Anmeldeinformationen einen erweiterten Satz von Schadsoftware entdeckt, der auf die Spiele von PyeongChang abzielt. Die Vielfalt der Anmeldeinformationen und das Vorhandensein eines Softwareschlüssels lassen darauf schließen, dass es sich in einer frühen Aufklärungsphase wahrscheinlich um eine anfängliche Malware-Infektion und nicht nur um einfaches Phishing der Anmeldeinformationen handelt.

Alle Samples der Malware-Variante „Olympic Destroyer“, die auf den IT-Anbieter abzielte, wurden mit einem Zeitstempel von fünf Minuten vor der Zusammenstellung der Samples versehen, die von den Talos-Forschern als auf das PyeongChang 2018-Netzwerk abzielend identifiziert wurden. Dies deutet auf einen parallelen, zweigleisigen Versuch hin, sowohl die Organisatoren als auch die Infrastrukturanbieter ins Visier zu nehmen.

Weitere nicht gemeldete Malware-Hashes sind im Anhang unten enthalten.

Hinweis: Nach der Entdeckung der fest codierten Anmeldeinformationen hat Recorded Future die entsprechenden Offenlegungspraktiken eingehalten, den entsprechenden IT-Anbieter benachrichtigt und Einzelheiten zur Kampagne bereitgestellt. Eine unabhängige forensische Untersuchung ist im Gange; zum jetzigen Zeitpunkt wurden keine Schäden gemeldet.

Technische Analyse: Zuordnung bleibt schwer fassbar

Eine der innovativsten Techniken, die derzeit von fortgeschrittenen Forschungsteams eingesetzt werden, ist die Suche nach Codeähnlichkeit in großem Maßstab. Google-Forscher waren die ersten, die diese Technik einsetzten , um zuvor nicht zugeordnete Kampagnen wie die des nordkoreanischen Bedrohungsakteurs Scarcruft und WannaCry zu gruppieren und beide schließlich mit der Lazarus-Gruppe in Verbindung zu bringen. BAE-Forscher entdeckten die ersten Überschneidungen in der Malware, die von BlueNoroff verwendet wurde, die beim SWIFT-Raub in Bangladesch eingesetzt wurde, indem sie die Verwendung einer gemeinsamen Löschfunktion feststellten und erneut mit dem Finger auf Nordkorea zeigten. Kaspersky-Forscher nutzten diese Methode, um den Trojaner, der auf CCleaner abzielt , mit der Axiom-Gruppe in Verbindung zu bringen und so weiter.

Das Problem bei dieser Technik besteht darin, dass die Codeähnlichkeit zwar bis auf den Prozentsatz gemeinsam genutzter Bytes mit Sicherheit angegeben werden kann, die Ergebnisse jedoch nicht eindeutig sind und einer Interpretation durch einen Experten bedürfen. Die Schadsoftware „Olympic Destroyer“ ist ein perfektes Beispiel dafür, wie wir durch diese Clustertechnik in die Irre geführt werden können, wenn unser Maßstab für Ähnlichkeit zu niedrig ist.

„Olympic Destroyer“ ist weiterhin nicht gruppiert und nicht zugeschrieben. Da diese Technik immer noch einer Interpretation durch Experten bedarf, kann eine oberflächliche oder unvollständige Analyse zu scheinbar zusammenhängenden Darstellungen führen, die beispielsweise in die Richtung Nordkorea, China oder Russland weisen. Dies tritt auf, wenn der Code mit einem ausreichend niedrigen Korrelationsschwellenwert betrachtet wird.

Nachfolgend sind einige unterschiedliche Beobachtungen aufgeführt, die wir auf Grundlage einer Code-Ähnlichkeitsanalyse zur Malware „Olympic Destroyer“ gemacht haben:

China: Intezer-Forscher waren die ersten, die auf Fragmente der Code-Ähnlichkeit mit verschiedenen Bedrohungsakteuren im allgemeinen chinesischen Cluster hinwiesen, darunter APT3 (UPS), APT10 (menuPass) und APT12 (IXESHE).

Nordkorea: Unsere eigenen Recherchen haben triviale, aber konsistente Code-Ähnlichkeiten zwischen den Olympic Destroyer-Modulen und mehreren Malware-Familien aufgedeckt, die von der Lazarus-Gruppe verwendet werden. Dazu gehören standardmäßige, aber unterschiedliche Funktionen innerhalb der BlueNoroff Banswift-Malware, die LimaCharlie-Familie der Lazarus-Malware aus dem Novetta Blockbuster-Bericht und ein Modul der Lazarus SpaSpe-Malware, die auf Domain-Controller abzielen soll.

Bevor man zu dem Schluss kommt, dass diese sehr unterschiedlichen Bedrohungsakteure eine Achse des Bösen gebildet haben, deren Ziel es ist, die Olympischen Spiele zu stören, müssen wir einen Schritt zurücktreten und unsere Forschungstechniken betrachten.

Die Code-Ähnlichkeit hat in der Vergangenheit zu wichtigen Forschungsergebnissen bei der Zuordnung neuer Kampagnen zu bekannten Bedrohungsakteuren geführt und ist auch weiterhin sehr vielversprechend für die Forschung und Malware-Klassifizierung. Allerdings sind genaue Prüfung und Urteilsvermögen erforderlich, wenn die Ähnlichkeitsschwelle so niedrig ist, dass der Fokus auf wenigen oder weniger Funktionen liegt. Wie bei früheren attributiven Methoden müssen die Forscher wachsam bleiben und auf die ständig drohende Gefahr der Anpassungsfähigkeit des Gegners achten.

Der vom israelischen Nationalstaat gesponserte Bedrohungsakteur Flame nutzte einen zuvor theoretischen kryptografischen Angriff , um sich lateral zu verbreiten. Die Bedrohungsgruppe Turla führte die Incident Responder in die Irre, indem sie nicht verwandte Malware auf den Rechnern ihrer Opfer platzierte, und die Lamberts spleißten zufälligen sauberen Code zusammen, um ihn als Verschlüsselungsschlüssel zu verwenden, um ein genaues Clustering zu vermeiden. Unsere Gegner sind erfinderisch. Während das Täuschen von Code-Ähnlichkeits-Clustering erheblichen Aufwand und Geschick erfordert, müssen wir es für entschlossene, höherstufige Angreifer mit den richtigen Motivationen für möglich halten.

Ausblick

Die Aktion zur Störung der Olympischen Winterspiele in PyeongChang war umfangreicher als ursprünglich gemeldet. Sowohl die Organisatoren als auch die Infrastruktur wurden gleichzeitig ins Visier genommen. Die Vielzahl der in die Schadsoftware eingebetteten Verbreitungsmechanismen lässt darauf schließen, dass die Malware aggressiv versucht, sich in diesen Netzwerken zu verbreiten und maximalen Schaden anzurichten. Das gleichzeitige Auftreten von Code-Überlappungen in der Schadsoftware könnte ein Hinweis auf eine Operation unter falscher Flagge sein, bei der versucht wurde, Beweise zu verwässern und Forscher zu verwirren. Die Zuordnung ist vorerst noch nicht eindeutig geklärt.

Eine vollständige Liste der zugehörigen Indikatoren für eine Gefährdung finden Sie unter: Laden Sie den Anhang herunter.