Targeting of Olympic Games IT Infrastructure Remains Unattributed

Click here to download the complete analysis as a PDF.

Key Judgements

Olympic Destroyer should be treated with a high level of concern, due to the destructive nature of the malware and its potent mechanisms to spread laterally.
Commentary and analysis surrounding malware code similarities of Olympic Destroyer have yielded many leads but no conclusive attribution.
The co-occurrence of disparate code overlaps in the malware may be indicative of a false flag operation, attempting to dilute evidence and confuse researchers.

Executive Summary

A major telecommunications and IT provider was targeted by an unknown threat actor as part of an operation directed at disrupting the Olympic Games in PyeongChang. Recorded Future identified hardcoded credentials for the IT provider embedded in the Olympic Destroyer malware used in this campaign. Small amounts of code overlap connect the malware to numerous, disparate threat groups, which ultimately does not help to identify the threat actor responsible for developing the Olympic Destroyer malware.

Background

A major telecommunications and IT provider was targeted by an unknown threat actor as part of targeting the Olympic Games in PyeongChang prior to December 2017.

Le logiciel malveillant, communément appelé Olympic Destroyer, a été initialement identifié par les chercheurs de Talos. Des chercheurs ont émis l'hypothèse que l'Olympic Destroyer aurait été utilisé pour perturber la cérémonie d'ouverture des Jeux Olympiques le 9 février. Ce logiciel malveillant destructeur se propage latéralement au sein d'un réseau via Psexec et WMI afin d'infecter les hôtes et de rendre leurs données inutilisables. Psexec et WMI sont des outils internes intégrés à Windows. Psexec est utilisé pour exécuter des processus sur d'autres systèmes d'un réseau partagé, tandis que WMI sert à automatiser des tâches sur des systèmes distants. Le logiciel malveillant utilise également Mimikatz, un outil de vol de mots de passe, pour extraire les identifiants d'une machine compromise, ce qui lui permet également de se déplacer sur le réseau cible. Les chercheurs de Microsoft ont déclaré qu'il existait également des preuves de l'utilisation d'EternalRomance, un exploit divulgué récemment exploité par des ransomwares comme méthode de propagation, mais nous n'avons pas été en mesure de vérifier cette affirmation.

Threat Analysis: A Two-Pronged Campaign

Recorded Future found an extended set of malware targeting the PyeongChang Games using an additional set of Active Directory credentials. The diversity of credentials and presence of a software key suggest that an early reconnaissance phase would likely involve an initial malware infection and not just simple credential phishing.

All samples of the Olympic Destroyer malware variant targeting the IT provider were timestamped five minutes prior to the compilation of the samples identified by Talos researchers as targeting the PyeongChang 2018 network. This suggests a parallel, two-pronged attempt to target the Olympics event, aimed at both organizers and infrastructure providers.

Additional unreported malware hashes are contained in the appendix below.

Note: Upon discovery of the hardcoded credentials, Recorded Future adhered to responsible disclosure practices, notified the relevant IT provider, and provided details of the campaign. An independent forensic investigation is underway and no damage is reported at this time.

Technical Analysis: Attribution Remains Elusive

L'une des techniques les plus innovantes actuellement utilisées par les équipes de recherche de pointe consiste à rechercher des similitudes entre des codes à grande échelle. Les chercheurs de Google ont été les premiers à utiliser cette technique de manière notable pour regrouper des campagnes jusque-là non attribuées, telles que celles de l'acteur malveillant nord-coréen Scarcruft et de WannaCry, qui ont finalement été reliées au groupe Lazarus. Les chercheurs de BAE ont découvert les premières similitudes entre les logiciels malveillants utilisés par BlueNoroff lors du vol SWIFT au Bangladesh en remarquant l'utilisation d'une fonction d'effacement commune, ce qui pointe une nouvelle fois du doigt la Corée du Nord. Les chercheurs de Kaspersky ont utilisé cette méthode pour relier le cheval de Troie ciblant CCleaner au groupe Axiom, et ainsi de suite.

The trouble with this technique is that while code similarity can be stated with certainty, down to a percentage of bytes shared, the results are not straightforward and require expert interpretation. The Olympic Destroyer malware is a perfect example of how we can be led astray by this clustering technique when our standard for similarity is too low.

Olympic Destroyer remains unclustered and unattributed. Because this technique still requires expert interpretation, casual or incomplete analysis can yield seemingly cohesive narratives, for example, pointing in the direction of North Korea, China, or Russia. This occurs when the code is looked at with a low enough correlative threshold.

Below are some disparate observations derived from the Olympic Destroyer malware based on code similarity analysis:

Chine: Les chercheurs d'Intezer ont été les premiers à signaler des fragments de code similaires à ceux utilisés par divers acteurs malveillants du cluster chinois général, notamment APT3 (UPS), APT10 (menuPass) et APT12 (IXESHE).

Corée du Nord: Nos propres recherches ont révélé des similitudes de code insignifiantes mais cohérentes entre les modules Olympic Destroyer et plusieurs familles de logiciels malveillants utilisés par le groupe Lazarus. Il s'agit notamment de fonctions standard mais différentes au sein du malware BlueNoroff Banswift, de la famille de malwares Lazarus LimaCharlie issue du rapport Novetta Blockbuster, et d'un module du malware Lazarus SpaSpe destiné à cibler les contrôleurs de domaine.

Before one concludes that these widely diverse threat actors have formed an axis of evil intent on disrupting the Olympics, we need to take a step back and look at our research techniques.

Code similarity historically yielded significant research findings in clustering new campaigns to known threat actors and continues to hold great promise for research and malware classification. However, it does require scrutiny and discernment when the similarity threshold is so low as to focus on a few functions, or less. As with previous attributory methods, researchers must remain vigilant to the ever-looming threat of adversary adaptability.

L'acteur malveillant Flame, soutenu par l'État israélien, a exploité une attaque cryptographique jusqu'alors théorique pour se propager latéralement. Le groupe malveillant Turla a induit en erreur les intervenants chargés de la gestion des incidents en plaçant des logiciels malveillants sans rapport avec l'attaque sur les machines de leurs victimes, et les Lamberts ont assemblé du code propre aléatoire pour l'utiliser comme clés de chiffrement afin d'éviter un regroupement précis. Nos adversaires sont ingénieux. Bien que tromper le regroupement par similarité de code nécessite des efforts et des compétences considérables, nous devons considérer cela comme possible pour des attaquants déterminés, de haut niveau et animés par les bonnes motivations.

Outlook

The operation to disrupt the PyeongChang Winter Olympic Games was more extensive than originally reported, with both organizers and infrastructure targeted simultaneously. The wealth of spreading mechanisms embedded within the malware suggests an aggressive effort to spread within these networks and cause maximum damage. The co-occurrence of code overlap in the malware may be indicative of a false flag operation, attempting to dilute evidence and confuse researchers. For the time being, attribution remains inconclusive.

Pour consulter la liste complète des indicateurs de compromission associés, Veuillez télécharger l'annexe.