Ampliar / El abanderado de Tonga en el invierno de Pyeongchang 2018 Es posible que los Juegos Olímpicos no hayan podido ordenar una camiseta de los Juegos ‘ sitio oficial a tiempo, gracias al malware wiper que trae el Las redes de los Juegos Olímpicos cayeron. Steve Russell / Getty Images
El comité organizador de los Juegos Olímpicos de Invierno de Pyeongchang confirmó el domingo que un ataque de malware fue responsable de las interrupciones a la red de los Juegos Olímpicos antes y durante las ceremonias de apertura en Viernes. Justo antes de la ceremonia de apertura, el sitio web oficial de los Juegos de Invierno se fueron, dejando a los asistentes incapaces de imprimir entradas para eventos u obtener información del lugar. El sitio no era restaurado hasta las 8 de la mañana del sábado. Múltiples redes se cayeron, incluyendo la red Wi-Fi en el estadio y la red en el Centro de prensa olímpica.
La causa fue un aparente ataque de malware “limpiador” que se había extendido en toda la red oficial de los Juegos de Pyeongchang usando robados cartas credenciales. La red no se restauró por completo hasta las 8 a.m. local hora del sábado, un total de 12 horas después del comienzo del ataque, el Guardian informó.
En una publicación de blog hoy, los investigadores de Cisco Talos Intelligence Warren Mercer y Paul Rascagneres revelaron que Talos tenía identificó (“con confianza media”) parte del malware utilizado en el ataque. No se ha determinado cómo era el malware introducido en la red, pero los binarios examinados por Talos mostró que el atacante tenía un conocimiento íntimo del Pyeongchang sistemas de red.
“El autor del malware conocía muchos detalles técnicos del Infraestructura del juego olímpico como nombre de usuario, nombre de dominio, servidor nombre y, obviamente, contraseña “, escribieron Mercer y Rascagneres”. identificó 44 cuentas individuales en el binario “. Algunas de estas eran nombres de usuario bastante genéricos, pero otros eran para usuarios específicos o agentes de software.
El “dropper” de malware usó esas credenciales e instaló Web Credencial de navegador y sistema operativo robando malware para cosechar inicios de sesión y contraseñas de otros usuarios para ayudar a propagarse a través de la red. Los investigadores de Talos notaron que elementos de El malware utilizado para recopilar credenciales de sistemas específicos utilizó el mismo canal de comunicaciones entre procesos que Bad Los ataques de criptoransomware de conejo y limpiaparabrisas NotPetya el año pasado (el el canal se utiliza para pasar nombres de usuario y contraseñas de vuelta al código de cuentagotas).
El cuentagotas escaneó otros sistemas a los que apuntar ejecutando un Solicitud de Instrumental de administración de Windows (WMI) para enumerar todos los sistemas dentro del mismo árbol de Active Directory y marcando Tabla de Protocolo de resolución de direcciones TCP / IP (ARP) de Windows con un Solicitud de API de Windows.
Una vez que el cuentagotas había encontrado objetivos y se había conectado con éxito a ellos, el malware usó la herramienta PsExec, un Windows legítimo herramienta de administración que instaló el cuentagotas para ejecutar de forma remota un script de Visual Basic (VBScript) en los sistemas de destino que se copió a ellos y lanzó el proceso nuevamente.
El malware limpiador propagado por el cuentagotas ocultó su malware actividad ejecutando todo a través del comando de Windows intérprete, cmd.exe: eliminar todas las copias “instantáneas” de archivos y Catálogos de copia de seguridad de Windows, desactivando el modo de recuperación en el arranque de Windows Almacén de datos de configuración, y luego apagar todos los servicios y marcándolos como deshabilitados. El malware luego borra la seguridad y sistema de registros para cubrir sus pistas.
El ataque parece haber sido diseñado específicamente para avergonzar a los organizadores olímpicos al interrumpir la apertura de la Juegos, ya que no había evidencia de robo de datos del red en el proceso. La naturaleza del malware sugiere buena recopilación de inteligencia avanzada, incluso potencialmente dentro conocimiento de los sistemas del comité organizador de Pyeongchang, y un equipo profesional que proporciona desarrollo utilizando un sistema bien establecido Técnicas y herramientas. �Quién encajaría exactamente en ese perfil y quién? querría interrumpir los Juegos Olímpicos de Invierno, se deja como un pensamiento ejercicio para el lector.
