Olympic Destroyer är tillbaka och riktar sig mot nya mål i Europa

Kaspersky Labs forskare har upptäckt att hackergruppen bakom Olympic Destroyer fortfarande är aktiv.

Olympic Destroyer angrep öppningsceremonin under vinter-OS i Pyeongchang med en skadlig nätverksmask. Hackergruppen tycks nu rikta sig mot Tyskland, Frankrike, Schweiz, Nederländerna, Ukraina och Ryssland, med fokus på organisationer som är involverade i skydd mot kemiska och biologiska hot.

Olympic Destroyer är ett avancerat IT-säkerhetshot som riktades mot arrangörer, leverantörer och partners för vinter-OS 2018 i Pyeongchang i Sydkorea. Hotet ledde till ett omfattande cybersabotage orsakat av en skadlig nätverksmask. Spåren efter masken pekade i flera olika riktningar, vilket skapade förvirring i informationssäkerhetsbranschen.

Kaspersky Lab identifierade dock en rad ledtrådar, som pekade på att gruppen Lazarus, med kopplingar till Nordkorea, kunde ligga bakom attacken.

Kaspersky Lab kunde även bekräfta att spåren var vilseledande och att Lazarus troligtvis inte låg bakom attacken.

Forskarna har nu kunnat se att Olympic Destroyer är aktivt igen och att det använder delar av originalverktygen för infiltration och spaning, nu med fokus på Europa.

Den skadliga koden sprids genom riktade nätfiskedokument som liknar dokumenten som användes i förberedelserna för attacken mot vinter-OS. Ett av dokumenten hänvisade till ”Spiez Convergence”, en konferens om hot mot biokemiska organisationer, som anordnas av Spiez Laboratory i Schweiz. Spiez Laboratory hade en viktig roll i utredningen om attacken i Salisbury. Ett annat dokument riktar sig mot en enhet i myndigheten för hälso- och veterinärkontroll i Ukraina. Vissa av dokumenten som hittats av forskarna innehåller ord på ryska och tyska.

Innehållet i de skadliga dokumenten var utformat för att ge tillgång till utsatta datorer.

Powershell Empire som är en öppen källkod med fritt ramverk användes i attackens andra skede. Gruppen ska även ha använt äldre versioner av CMS-systemet Joomia, som också har öppen källkod, för att hantera och kontrollera skadlig kod.

̶  Olympic Destroyer, med sina sofistikerade och vilseledande attacker tidigare i år, har visat hur enkelt det är att begå ett misstag där bara fragment är synliga för forskarna. Analyser och avskräckande åtgärder som krävs för att hantera denna typ av hot bör ske över landsgränser och baseras på samarbeten mellan näringslivet och myndigheter. Vi hoppas att vi, genom att dela dessa upptäckter, kan hjälpa fler att upptäcka och mildra liknande attacker i framtiden, säger Vitaly Kamluk, säkerhetsforskare i Kaspersky Labs GReAT-grupp.

Vid den tidigare attacken under vinter-OS började förberedelserna några månader innan den skadliga nätverksmasken spreds. Det finns stor risk att Olympic Destroyer nu förbereder en liknande attack med ett nytt motiv. Kaspersky Lab rekommenderar därför organisationer som arbetar med biologisk och kemisk säkerhetsforskning att vara på sin vakt och inleda en revidering av säkerheten där det är möjligt.