对2018年冬奥会中的计算机网络部分代码的详细分析揭示了一个狡猾的计划,这一切的矛头似乎指向了朝鲜。
在韩国平昌比赛的第一天,它的主网站面临崩溃,赛事周围的Wi-Fi网络变得无法使用,数据被恶意软件(后来称为奥运驱逐舰)从服务器上擦去。在发现网络钓鱼攻击事件之后,IT安全部门已经警告各部门网络攻击可能即将到来,并且很快就会开始攻击我们。
在接下来的几个星期里,一些分析表明,这次袭击是由朝鲜政府赞助的黑客团队Lazarus Group发起的。然而,卡巴斯基实验室工程师的一项研究表明,Lazarus并没有编写任何代码,出现了与实际情况相反的情况。
卡巴斯基实验室亚太研究小组负责人Vitaly Kamluk本周在防病毒厂商安全分析师峰会上表示,这种甩锅行为是可以理解的。乍看之下,摧毁奥运数据的代码和去年Lazarus发起的8100万美元网络抢劫代码是完全相同的,甚至连报文头部都一模一样。
“我们可以百分之百地相信这种甩锅给Lazarus的行为是错误的,”他说。
但是,包含一些元数据的擦除函数的Rich头部包含了代码编写的开发环境。奥运代号表明它是使用Visual Studio 10开发的,并且看起来好像代码与C ++相同,写成Bluenoroff。
“唯一可以作出的合理结论是,擦除函数里的Rich标题是故意从Bluenoroff样本中复制的。这是一个伪装,与二进制文件内的内容没有任何关系,“卡巴斯基关于此事的技术报告指出。
“我们不能完全理解这个行为背后的动机,但我们确信奥运驱逐舰的创造者有意修改他们的代码,使其与Lazarus集团生产的Bluenoroff样本相似。”
那么谁写了代码?Kamluk说他不确定,但是一些传播方法和攻击中使用的VPN可以将它与俄罗斯国家赞助的APT28组织联系起来。
卡巴斯基全球研究和分析总监Costin Raiu警告说,在未来几年内,攻击发起者的寻找会将变得棘手。安全公司正在构建能够自动化恶意软件样本归属的代码数据库,但与此同时,编码人员需要变得更加聪明,我们未来可能会看到很多类似伪装代码的事件的出现。
领取专属 10元无门槛券
私享最新 技术干货