Во время открытия зимних Олимпийский игр хакеры атаковали серверы мероприятия и попытались испортить самое значимое спортивное событие этого года. Но им сделать это не удалось, так как специалисты быстро предприняли необходимые меры и предотвратили возникновение серьезных последствий.
Во время непосредственно самой атаки на стадионе пропал доступ к беспроводной сети Wi-Fi, перестали работать телевизионные системы и на время оказался недоступным официальный сайт Олимпиады, из-за чего зрители, желающие попасть на церемонию открытия, не смогли распечатать свои электронные билеты. Расследованием инцидента незамедлительно занялись специалисты компании Cisco Talos, которые уже успели обнародовать развернутый отчет о произошедшем.
Согласно их данным, атака была тщательно спланирована и очень хорошо организована. Эксперты установили, что злоумышленники совершали атаку с помощью зловреда, который уже прозвали Olympic Destroyer. Он относится к так называемому классу Wiper, что в переводе на русский означает чистильщик. Ему под силу осуществить вмешательство в работу операционной системы и удалить сервисы, которые критически важны для работы всей ОС. Кроме этого, он вмешивается в процедуру восстановления данных, из-за чего атакуемое устройство вовсе может выйти из строя. Уже известно, что атака совершалась только на компьютеры, работающие под управлением операционной системы Windows. Специалистам стало известно, что Olympic Destroyer специально анализирует содержание системных папок, в результате чего обнаруживает и удаляет из них файлы, которые могут не сильно влиять на работу всей системы, но зато представляют особый интерес для организаторов Олимпиады.
Экспертам удалось обнаружить еще одну интересную особенность вируса. Оказывается, в него встроен очень интересный механизм самоизменения, благодаря которому он может изменяться на каждом отдельном компьютере. Это затрудняет его обнаружение. Согласно данным аналитиков, вирус получает доступ к браузерам и хранящейся в них информации. Такие же действия он осуществляет и непосредственно в самой операционной системе. Эти данные комбинируются со списком другой информации, которая представляет собой логины и пароли. Весь этот набор используется для того, чтобы вирус мог дальше распространятся по сети, заражая новые компьютеры и серверы.
Как только в распоряжении вируса оказываются похищенные логины и пароли, он вносит их в свой собственный список, который уже имеется в его распоряжении.
Специалисты признались, что за долгие годы работы и изучения различной малвари им еще не приходилось сталкиваться с таким хорошо продуманным и хитрым вирусом.
Несмотря на большой опыт работы в этой сфере, эксперты Cisco Talos не смогли определить, что именно способствовало успешному проникновению вируса в сеть и распространению по ней. Но в этом помогли им разобраться их коллеги из компании Microsoft. Им стало известно, что для создания своего вируса злоумышленники использовали эксплоит под названием EternalRomance. Ранее он использовался Агентством национальной безопасности США, пока не был похищен у них хакерами из группировки Shadow Brokers. После этого эксплоит появился в открытом доступе, поэтому АНБ отказалось от его использования.
Отметим, что этот же эксплоит вместе с еще одним инструментом, который называется EternalBlue, применялись для совершения атак с использованием вирусов Bad Rabbit и NotPetya.
Изучение проведенной атаки продолжается, так как у специалистов все еще остается очень много вопросов. Но тем не менее все специалисты склоняются к тому, что атака с использованием Olympic Destroyer была организована не с целью похищения конфиденциальной информации, и даже не для вымогательства денежных средств. Вероятнее всего, хакеры постарались так сильно для того, чтобы уничтожить важные данные и нанести организаторам зимних Олимпийских игр максимальный вред.