奥林匹克伪旗行动:恶名昭彰的恶意软件

2018-03-19 09:42:00 作者:ym 出处 : 比特网

  一种最新的归属判断方法帮助卡巴斯基实验室发现一种非常复杂的伪旗行动

  攻击者活动的柱状图(每天/每小时)

  卡巴斯基实验室全球研究和分析团队发表了对OlympicDestroyer恶意软件的研究结果,提供技术证据证明恶意软件制作者在蠕虫内部设置了一个非常复杂的伪旗行动,从而迷惑威胁追踪者,无法发现其真正的来源。

  OlympicDestroyer蠕虫在冬季奥利匹克运动会期间多次登上新闻头条。今年的平昌奥运会遇到了网络攻击,在正式的开幕式之前导致IT系统暂时瘫痪,并且关闭了显示器,切断了Wi-Fi,导致奥运会网站无法显示,使得观众无法通过网站打印门票。卡巴斯基实验室还发现韩国多个滑雪场设施遭到这一蠕虫的攻击,造成滑雪场的大门和缆车无法运营。尽管这次的恶意软件攻击造成的影响有限,但很明显表现出了破坏性,幸运的是,这样的结果并没有发生。

  尽管如此,网络安全行业的真正兴趣并不在于Destroyer恶意软件攻击造成的潜在危害甚至实际损失,而在于恶意软件的来源。也许没有任何一款其他复杂的恶意软件能够像OlympicDestroyer这样有如此多的归属猜想。这款恶意软件被发现后几天内,来自全球的研究团队根据一些之前不同国家或为这些国家政府工作的黑客的网络间谍活动的特性和破坏者特征,将该恶意软件归属为俄罗斯、中国和朝鲜。

  卡巴斯基实验室的研究人员也试图发现这款恶意软件背后的黑客组织是谁。在某个研究阶段,他们发现了看上去将这种软件与Lazarus恶意软件100%联系起来的证据。而Lazarus则是一种知名的与朝鲜有关的政府资助的黑客组织。

  这个结论是基于攻击者留下的独特痕迹。存储在文件中代码开发环境的某些特征的组合可以用作“指纹”,在某些情况下可以识别恶意软件编写者及其他项目。卡巴斯基实验室分析的样本中,发现的指纹与之前已知的Lazarus恶意软件组件100%匹配,与卡巴斯基实验室已知的所有干净文件或恶意文件重叠率为零。结合其攻击策略、技巧和流程(TTP),研究人员得出初步结论,认为OlympicDestroyer是Lazarus黑客组织发起的另一次攻击行动。但是,卡巴斯基实验室在韩国的被攻击现场进行实地调查后发现,这种恶意软件与Lazarus TTPs在动机上和其它地方有很多不一致之处,使得研究人员重新审视了这些罕见的证据。

  研究人员仔细研究了每个特征的证据和手动验证之后,发现该特征与代码不匹配 ——这种恶意软件的特征已经被伪造成完全符合Lazarus使用的指纹。

  因此,研究人员得出结论:特征“指纹”是一个非常复杂的伪旗行动,故意放置在恶意软件中,以便给威胁追踪者造成假象,让他们误以为已经找到了确实的证据,让他们无法更准确地对这种威胁进行归属判断。

  据我们所知,我们发现的证据之前未被用于归属判断。但是攻击者决定使用它,并预测有人会发现这些证据。他们认为伪造这种证据非常难以证明。这就好像是罪犯盗取了他人的DNA,将其留在了犯罪现场,而没有留下自己的证据。我们发现并证明了在犯罪现场发现的DNA是罪犯故意留下的。所有这些都表明攻击者为了保持尽可能长时间不被发现,花费了很多精力。我们一直认为,在网络空间进行归属判断是非常困难的,因为有很多东西都可以被伪造,而OlympicDestroyer就是一个很好的例子,“卡巴斯基实验室亚太区研究团队负责人Vitaly Kamluk说。

  “对我们来说,这个故事的另一个要点是对威胁的归属判断必须非常严肃。考虑到最近网络空间的政治化程度,错误的归属判断可能会导致严重的后果,威胁攻击者可能会试图操纵安全社区的意见,从而影响地缘政治议程,“他补充说。

  OlympicDestroyer的准确归属仍然是一个悬而未决的问题——它很好地示例了复杂的伪旗行动的执行。但是,卡巴斯基实验室研究人员发现攻击者使用了隐私保护服务NordVPN和名为MonoVM的服务,而且这两个服务商都接受比特币。这些证据以及其他一些已发现的TTP之前曾被使用俄语的威胁组织Sofacy使用过。

  卡巴斯基实验室产品能够成功检测和拦截OlympicDestroyer恶意软件。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。