Angriff auf die IT-Infrastruktur der Olympischen Spiele bleibt unbekannt

Click here to download the complete analysis as a PDF.

Executive Summary

Ein großer Telekommunikations- und IT-Anbieter wurde im Rahmen einer Operation zur Störung der Olympischen Spiele in PyeongChang von einem unbekannten Bedrohungsakteur ins Visier genommen. Recorded Future hat fest codierte Anmeldeinformationen für den IT-Anbieter identifiziert, die in der in dieser Kampagne verwendeten Schadsoftware „Olympic Destroyer“ eingebettet sind. Kleine Code-Überschneidungen bringen die Schadsoftware mit zahlreichen, unterschiedlichen Bedrohungsgruppen in Verbindung, was letztlich nicht dabei hilft, den Bedrohungsakteur zu identifizieren, der für die Entwicklung der Schadsoftware „Olympic Destroyer“ verantwortlich ist.

Hintergrund

Ein großer Telekommunikations- und IT-Anbieter geriet im Zuge eines Angriffs auf die Olympischen Spiele in PyeongChang vor Dezember 2017 ins Visier eines unbekannten Bedrohungsakteurs.

Die allgemein als „Olympic Destroyer“ bezeichnete Schadsoftware wurde ursprünglich von Forschern von Talos identifiziert. Forscher haben die Theorie aufgestellt, dass der Olympic Destroyer eingesetzt wurde , um die Eröffnungszeremonie der Olympischen Spiele am 9. Februar zu stören . Die zerstörerische Schadsoftware bewegt sich seitlich innerhalb eines Netzwerks über Psexec und WMI, um Hosts zu infizieren und deren Daten unbrauchbar zu machen. Psexec und WMI sind integrierte interne Windows-Tools. Psexec wird zum Ausführen von Prozessen auf anderen Systemen in einem gemeinsam genutzten Netzwerk verwendet und WMI zum Automatisieren von Aufgaben auf Remotesystemen. Die Schadsoftware nutzt außerdem Mimikatz, ein Tool zum Diebstahl von Passwörtern, um Anmeldeinformationen von einem kompromittierten Computer zu extrahieren und sich so auch über das Zielnetzwerk zu verbreiten. Microsoft-Forscher gaben an , dass es auch Hinweise auf die Verwendung von EternalRomance gibt, einem kürzlich durchgesickerten Exploit, der von Ransomware als Verbreitungsmethode missbraucht wurde. Wir konnten diese Behauptung jedoch nicht überprüfen.

Bedrohungsanalyse: Eine zweigleisige Kampagne

Recorded Future hat mithilfe eines zusätzlichen Satzes von Active Directory-Anmeldeinformationen einen erweiterten Satz von Schadsoftware entdeckt, der auf die Spiele von PyeongChang abzielt. Die Vielfalt der Anmeldeinformationen und das Vorhandensein eines Softwareschlüssels lassen darauf schließen, dass es sich in einer frühen Aufklärungsphase wahrscheinlich um eine anfängliche Malware-Infektion und nicht nur um einfaches Phishing der Anmeldeinformationen handelt.

Alle Samples der Malware-Variante „Olympic Destroyer“, die auf den IT-Anbieter abzielte, wurden mit einem Zeitstempel von fünf Minuten vor der Zusammenstellung der Samples versehen, die von den Talos-Forschern als auf das PyeongChang 2018-Netzwerk abzielend identifiziert wurden. Dies deutet auf einen parallelen, zweigleisigen Versuch hin, sowohl die Organisatoren als auch die Infrastrukturanbieter ins Visier zu nehmen.

Weitere nicht gemeldete Malware-Hashes sind im Anhang unten enthalten.

Technische Analyse: Zuordnung bleibt schwer fassbar

Eine der innovativsten Techniken, die derzeit von fortgeschrittenen Forschungsteams eingesetzt wird, ist die Suche nach Code-Ähnlichkeiten im großen Maßstab. Die Google-Forscher waren die ersten, die diese Technik insbesondere zum Clustering bislang nicht zugeordneter Kampagnen wie der des nordkoreanischen Bedrohungsakteurs Scarcruft und WannaCry einsetzten und beide letztlich der Lazarus Group zuordneten. Die Forscher von BAE entdeckten die ersten Überschneidungen in der von BlueNoroff beim SWIFT-Raub in Bangladesch eingesetzten Schadsoftware und stellten die Verwendung einer gemeinsamen Löschfunktion fest, was erneut mit dem Finger auf Nordkorea zeigte. Mithilfe dieser Methode konnten die Forscher von Kaspersky den auf CCleaner abzielenden Trojaner mit der Axiom-Gruppe usw. in Verbindung bringen .

Das Problem bei dieser Technik besteht darin, dass die Codeähnlichkeit zwar bis auf den Prozentsatz gemeinsam genutzter Bytes mit Sicherheit angegeben werden kann, die Ergebnisse jedoch nicht eindeutig sind und einer Interpretation durch einen Experten bedürfen. Die Schadsoftware „Olympic Destroyer“ ist ein perfektes Beispiel dafür, wie wir durch diese Clustertechnik in die Irre geführt werden können, wenn unser Maßstab für Ähnlichkeit zu niedrig ist.

„Olympic Destroyer“ ist weiterhin nicht gruppiert und nicht zugeschrieben. Da diese Technik immer noch einer Interpretation durch Experten bedarf, kann eine oberflächliche oder unvollständige Analyse zu scheinbar zusammenhängenden Darstellungen führen, die beispielsweise in die Richtung Nordkorea, China oder Russland weisen. Dies tritt auf, wenn der Code mit einem ausreichend niedrigen Korrelationsschwellenwert betrachtet wird.

Nachfolgend sind einige unterschiedliche Beobachtungen aufgeführt, die wir auf Grundlage einer Code-Ähnlichkeitsanalyse zur Malware „Olympic Destroyer“ gemacht haben:

China: Die Forscher von Intezer waren die ersten, die auf Codefragmente mit Ähnlichkeiten zu verschiedenen Bedrohungsakteuren im allgemeinen chinesischen Cluster hinwiesen, darunter APT3 (UPS), APT10 (menuPass) und APT12 (IXESHE).

Nordkorea: Unsere eigenen Recherchen haben triviale, aber konsistente Code-Ähnlichkeiten zwischen den Olympic Destroyer-Modulen und mehreren Malware-Familien aufgedeckt, die von der Lazarus-Gruppe verwendet werden. Dazu gehören standardmäßige, aber unterschiedliche Funktionen der BlueNoroff Banswift-Malware, die Lazarus-Malware-Familie LimaCharlie aus dem Novetta Blockbuster-Bericht und ein Modul der Lazarus SpaSpe-Malware, das auf Domain-Controller abzielen soll.

Bevor man zu dem Schluss kommt, dass diese sehr unterschiedlichen Bedrohungsakteure eine Achse des Bösen gebildet haben, deren Ziel es ist, die Olympischen Spiele zu stören, müssen wir einen Schritt zurücktreten und unsere Forschungstechniken betrachten.

Die Code-Ähnlichkeit hat in der Vergangenheit zu wichtigen Forschungsergebnissen bei der Zuordnung neuer Kampagnen zu bekannten Bedrohungsakteuren geführt und ist auch weiterhin sehr vielversprechend für die Forschung und Malware-Klassifizierung. Allerdings sind genaue Prüfung und Urteilsvermögen erforderlich, wenn die Ähnlichkeitsschwelle so niedrig ist, dass der Fokus auf wenigen oder weniger Funktionen liegt. Wie bei früheren attributiven Methoden müssen die Forscher wachsam bleiben und auf die ständig drohende Gefahr der Anpassungsfähigkeit des Gegners achten.

Der vom israelischen Staat gesponserte Bedrohungsakteur Flame nutzte einen bislang theoretischen kryptografischen Angriff zur lateralen Verbreitung. Die Bedrohungsgruppe Turla führte die Einsatzkräfte in die Irre, indem sie auf den Rechnern ihrer Opfer unabhängige Schadsoftware platzierte, und die Lamberts fügten zufällig ausgewählten sauberen Code ein, um ihn als Verschlüsselungsschlüssel zu verwenden und so eine akkurate Clusterbildung zu verhindern. Unsere Gegner sind einfallsreich. Obwohl es erheblichen Aufwand und Geschick erfordert, Code-Ähnlichkeitscluster zu täuschen, müssen wir davon ausgehen, dass es für entschlossene, hochrangige Angreifer mit den richtigen Motiven möglich ist.

Ausblick

Die Aktion zur Störung der Olympischen Winterspiele in PyeongChang war umfangreicher als ursprünglich gemeldet. Sowohl die Organisatoren als auch die Infrastruktur wurden gleichzeitig ins Visier genommen. Die Vielzahl der in die Schadsoftware eingebetteten Verbreitungsmechanismen lässt darauf schließen, dass die Malware aggressiv versucht, sich in diesen Netzwerken zu verbreiten und maximalen Schaden anzurichten. Das gleichzeitige Auftreten von Code-Überlappungen in der Schadsoftware könnte ein Hinweis auf eine Operation unter falscher Flagge sein, bei der versucht wurde, Beweise zu verwässern und Forscher zu verwirren. Die Zuordnung ist vorerst noch nicht eindeutig geklärt.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.