março 02, 2018

[Segurança] Olympic Destroyer

Durante as olimpíadas de inverno em PyeongChang, na Coréia do Sul, o comitê olímpico sofreu alguns ciber ataques, batizados de "Olympic Destroyer".


Logo no início dos jogos, eles receberam a primeira leva de ataques antes e durante a abertura dos jogos. Os ataques incluiram a derrubada do site oficial dos Jogos de Inverno por 12 horas, o colapso da rede Wi-Fi no estádio Olímpico de PyeongChang e problemas nas comunicações de televisão e Internet no principal centro de imprensa.

Os problemas aconteceram porque a rede oficial dos jogos de inverno sofreu um ataque por um malware do tipo "wiper", batizado de "Olympic Destroyer". Esse malware usava password stealers para obter credenciais do sistema e do browser da máquina infectada, em seguida tenta se espalhar pelos computadores próximos usando essas credenciais roubadas e, depois, deleta vários arquivos do sistema para deixar o equipamento fora de uso.

De acordo com o blog da Cisco que dissecou o malware responsável pelo ataque, "o autor do malware sabia muitos detalhes técnicos da infra-estrutura dos Jogos Olímpicos, como nomes de usuários, nomes de domínio, nomes de servidores e, obviamente, senhas".

Desde o início dos ciber ataques já se especulava que a origem poderia ser a Rússia, uma hipótese que a inteligência americana considera verdadeira, em resposta ao banimento que o comitê olímpico impôs a delegação russa por causa de denúncias de doping patrocinado pelo governo. Mesmo antes das olimpíadas de inverno começarem, grupos russos já estavam atacando o comitê olímpico  e a organização dos jogos de PyeongChang como forma de vingança.


Mas, na verdade, atribuição de um ciber ataque a alguém não é algo fácil, e especula-se também que os criadores do malware deliberadamente plantaram pistas falsas ("false flags") para fazer os pesquisadores acreditarem que a origem poderia ser na China ou Coréia do Norte. O código do malware "Olympic Destroyer" continha partes de outros malwares russos, chineses e norte-coreanos, e os atacantes aparentemente utilizavam endereços IP da Coréia do Norte.

Para saber mais:
PS: Mas o legal mesmo é ver uma competição de ski com robôs durante a olimpíada de inverno!!!

PS/2: Post atualizado em 13/03 para incluir mais uma reportagem sobre as suspeitas de que a atribuição do ataque à Coreia do Norte está equivocada.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.