Kaspersky-Analyse

Olympic Destroyer ist zurück – Zielobjekte in Europa

Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur ,Olympic Destroyer‘ stehende Hacker-Gruppe noch aktiv ist und und auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr abzielt. Die Kaspersky-Analyse zeigt, dass auch Ziele in Deutschland und der Schweiz im Visier der Malware sind.

Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

Anzeige

Bei OIympic Destroyer handelt es sich um einen fortschrittlichen Bedrohungsakteur, der Organisationen, Lieferanten und Partner der Olympischen Winterspiele 2018 in Pyeongchang, Südkorea, mit einer Cybersabotage-Operation auf Basis eines schädlichen Netzwerkwurms getroffen hat. Hinsichtlich des Ursprungs der Attacke deuteten damals viele Hinweise in verschiedene Richtungen, was im Februar 2018 zu einigen Verwirrungen innerhalb der Security-Branche führte. Einige von Kaspersky Lab entdeckte rare und komplexe Anzeichen deuteten darauf hin, dass die Lazarus-Gruppe, ein mit Nordkorea in Verbindung gebrachter Bedrohungsakteur, hinter der Operation steckt. Im März 2018 bestätigte Kaspersky Lab jedoch, dass die Kampagne eine aufwendige und überzeugende False-Flag-Operation beinhaltete, hinter der höchstwahrscheinlich doch nicht die Lazarus-Gruppe steckte.

Die Experten fanden nun heraus, dass Olympic Destroyer wieder aktiv ist, zum Teil das originale Tool-Set verwendet und es auf Zielobjekte in Europa abgesehen hat.

Spear-Phishing mit Bezug auf Schweizer Konferenz zu biochemischen Bedrohungen

Der Bedrohungsakteur verbreitet die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind. Eines der Dokumente, mit denen potentielle Opfer angelockt werden sollen, nimmt auf die ,Spiez Convergence‘ Bezug. Dabei handelt es sich um eine Konferenz zu biochemischen Bedrohungen, die im Herbst 2018 in der Schweiz stattfindet und vom Labor Spiez veranstaltet wird, einer Organisation, die bei den Untersuchungen zum Salisbury-Fall (Skripal-Fall) eine Schlüsselrolle gespielt hat. Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen. Einige der von Sicherheitsexperten entdeckten Spear-Phishing-Dokumente enthielten Wörter in Russisch und Deutsch.

Die aus den gefährlichen Dokumenten extrahierte finale Nutzlast (Payload) wurde für den generischen Zugriff auf kompromittierte Computer entwickelt. Für die zweite Stufe des Angriffs wurde das Open-Source-basierte und freie Framework ,Powershell Empire‘ verwendet.

Die Angreifer scheinen kompromittierte legitimen Webserver zu nutzen, auf denen sie die Malware hosten und kontrollieren. Diese Sever nutzen das beliebte Open-Source-Content-Management-System (CMS) Joomla. Die Experten fanden heraus, dass es sich bei einem der Server, der die gefährliche Payload hostet, um eine Version von Joomla (v1.7.3) handelt, die im November 2011 veröffentlicht wurde. Das deutet darauf hin, dass die Hacker eine längst veraltete Version des CMS-Systems für das Hacken der Server ausgenutzt haben.

Auf Basis der Telemetrie von Kaspersky Lab sowie Daten, die bei verschiedenen Viren-Scanner-Services hochgeladen wurden, scheint sich die Olympic-Destroyer-Kampagne für Einheiten in Deutschland, Frankreich, der Schweiz, die Niederlande, der Ukraine und Russland zu interessieren.

„Als Anfang des Jahres Olympic Destroyer mit seinen ausgefeilten Täuschungsmanövern auftauchte, wurde offensichtlich, dass sich das Spiel mit der Attribuierung – also der Zuschreibung – von Angriffen für immer verändern wird. Es zeigte sich, wie einfach sich Fehler einschleichen, wenn man nur mit den Fragmenten eines Bildes, die für die Forscher sichtbar sind, arbeitet“, sagt Vitaly Kamlyuk, Sicherheitsforscher bei Kaspersky Lab. „Die Analyse und Abschreckung derartiger Bedrohungen sollte auf der Kooperation zwischen dem Privatsektor und den Regierungen sowie über nationale Grenzen hinaus basieren. Wir hoffen, dass mit dem Publizieren unserer Ergebnisse die Sicherheitsbeauftragten und die Sicherheitsforscher zukünftig besser in der Lage sind, einen solchen Angriff in jedem Stadium zu erkennen und zu verhindern.“

Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Aus diesem Grund rät Kaspersky Lab biologischen und chemischen Bedrohungsforschungseinrichtungen, sich der Gefahr bewusst zu sein und außerplanmäßige Sicherheitsaudits durchzuführen.

Die Produkte von Kaspersky Lab entdecken und blockieren die Malware Olympic Destroyer.

Weitere Informationen zur neuen Angriffswelle von Olympic Destroyer inklusive von Kompromittierungsindikaktoren sind hier verfügbar.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.