Pesquisadores de segurança que acompanham a ameaça Olympic Destroyer descobriram que o grupo de hackers que a desenvolveu ainda está ativo. Seus ataques são direcionados à Alemanha, França, Suíça, Holanda, Ucrânia e Rússia, com especial enfoque em organizações envolvidas na proteção contra ameaças químicas e biológicas. O malware atacou a abertura dos últimos Jogos de Inverno em Pyeongchang, recorrendo a uma destrutiva worm de rede.
O Olympic Destroyer é uma ameaça avançada que atingiu organizadores, fornecedores e parceiros dos Jogos de Inverno de 2018 em Pyeongchang, na Coreia do Sul, por uma operação de sabotagem com recurso a uma worm de rede. Em fevereiro deste ano, uma análise desta ameaça revelou que vários indicadores apontavam para diferentes direções quanto à origem do ataque. Alguns elementos raros e sofisticados sugeriram que o Lazarus, um grupo de hackers associados à Coreia do Norte, era responsável pela operação. Em março, foi confirmado que a campanha incluía uma falsa operação, bastante elaborada e convincente, e que o grupo em questão não seria o responsável. Agora, os investigadores descobriram que a operação Olympic Destroyer está de volta, desta vez direcionada a alvos europeus, mas recorrendo a algumas das suas ferramentas originais de infiltração e reconhecimento.
O cibercriminoso espalha o malware por meio de documentos spear-phishing que se assemelham aos documentos utilizados na preparação da operação dos Jogos de Inverno. Um destes documentos faz referência à “Spiez Convergence”, uma conferência sobre ameaças bioquímicas que decorre na Suíça, organizada pelos Laboratórios Spiez, uma instituição que teve um papel determinante na investigação do ataque a Salisbury. Outro documento apresentava como alvo uma entidade da Autoridade de Controle Sanitário e Veterinário da Ucrânia e alguns outros incluem palavras em russo e alemão.
Alguns dos anexos extraídos dos documentos maliciosos foram desenvolvidos para garantir acesso geral aos computadores comprometidos. Uma estrutura de acesso-livre, vulgarmente conhecida como Powershell Empire, foi utilizada na segunda fase do ataque.
Aparentemente, os cibercriminosos utilizam servidores legítimos, mas comprometidos para alocar e controlar o malware. Estes servidores, por sua vez, usam um Sistema de Gestão de Conteúdo (SGC) de acesso-livre e bastante conhecido, de nome Joomla. Os investigadores descobriram também que um dos servidores que aloja o anexo malicioso usa uma versão do Joomla (v1.7.3) disponibilizada em novembro de 2011, o que sugere que uma versão bastante desatualizada deste SGC pode estar sendo utilizada pelos hackers para invadir servidores.
“O aparecimento, no início deste ano, do Olympic Destroyer e dos seus sofisticados efeitos de ilusão, alterou irremediavelmente o panorama de atribuição, e demonstraram o quão fácil é cometer um erro tendo como base apenas os fragmentos da imagem que os investigadores conseguem ver. A análise destas ameaças deve assentar na cooperação entre o setor privado e as agências governamentais além das fronteiras. Esperamos que, ao partilhar publicamente as nossas descobertas, técnicos e investigadores de segurança estejam melhor preparados para, no futuro, reconhecer e mitigar este tipo de ataques em qualquer fase”, afirma Vitaly Kamluk, investigador de segurança e membro da Equipe de Análise e Pesquisa da Kaspersky Lab.
No ataque anterior, durante os Jogos de Inverno, o início da fase de reconhecimento ocorreu meses antes da epidemia destrutiva worm de rede que se conseguia auto modificar. É possível que o Olympic Destroyer seja um ataque semelhante, mas com novos motivos. Por essa razão, instituições de investigação de ameaças biológicas e químicas devem se manter em alerta e a lançar uma auditoria de segurança extraordinária assim que possível.
