Analyzovali kód, ktorý napadol OH. Išlo mu o ničenie a narušenie OH

Značky: bezpečnosť

DSL.sk, 13.2.2018

Bezpečnostná divízia Talos spoločnosti Cisco analyzovala škodlivý kód, ktorý bol podľa nej za útokom na infraštruktúru Olympijských hier v deň otváracieho ceremoniálu.

Ako kód získala respektíve identifikovala neinformuje, podľa oznámenia má mať ale strednú mieru istoty, že ide o kód zodpovedný za incident.

Podľa pôvodných informácií juhokórejskej agentúry Yonhap útok spôsobil nefunkčnosť IPTV v novinárskom centre a následne organizátori respektíve ich dodávatelia vypli servery aby predošli ďalším škodám, čím cca na pol dňa odstavili oficiálnu stránku OH. Podľa Cisca malo zníženú kvalitu aj WiFi pre novinárov.

Kód bol jasne špecificky napísaný na účel napadnutia OH, keď sa v ňom okrem iného vyskytuje použitá doména Pyeongchang2018.com.

Podľa hodnotenia kódu Ciscom išlo tvorcom evidentne o ničenie a narušenie OH, kód preto nazvali Olympic Destroyer. V kóde neidentifikovali žiadnu snahu útočníkov získať dáta.

Kód je určený pre Windows. Po infikovaní počítača sa jednak snaží získať ďalšie prístupové údaje z prítomných webových prehliadačov a systému, jednak sa snaží šíriť na ďalšie počítače s využitím prístupových údajov pomocou PsExec a WMI a jednak sa snaží poškodiť infikovaný systém.

Konkrétne najskôr sťaží obnovu počítača zmazaním tzv. shadow copies, interných starších snapshotov súborového systému, zmazaním katalógu zálohovacieho Windows nástroja WBAdmin, prestavením recovery konzoly aby sa nepokúšala opraviť problémy a zmazaním systémových logov.

Škodlivý kód zmaže všetky zapisovateľné súbory zrejme na pripojených zdieľaných priečinkoch ich prepísaním, zakáže všetky Windows služby a vypne počítač.

Tvorcovia podľa Cisca poznali veľa detailov o použitej infraštruktúre a v škodlivom kóde sú prítomné prihlasovacie údaje k 44 účtom, škodlivý kód sa tak nespolieha pre šírenie len na získanie prihlasovacích údajov z infikovaných systémov. Podľa spoločnosti by to mohlo znamenať, že do infraštruktúry už prenikli predtým a získali tieto prihlasovacie údaje.

Cisco zatiaľ nevie, ako škodlivý kód infikoval prvé počítače.


Najnovšie články:



Diskusia:

absolutno Od: Jerichoo | Pridané: 13.2.2018 9:16 Cisco? To je tá spoločnosť, ktorá aj na Slovensku rozšírila zraniteľné zariadenia? A pritom dosť drahé, pažravé, hlučné... Aspoň tie okolo rokov 2000-2008... Odpovedať Známka: -0.7 Hodnotiť:

Re: absolutno Od: [Jooky] | Pridané: 13.2.2018 10:32 Ano, firma ktora v 2018 stale pouziva telnet a ma tam remote code execution cez buffer overflow ... Odpovedať Známka: 5.8 Hodnotiť:

Re: absolutno Od: reg.: Houston | Pridané: 13.2.2018 11:53 line vty 0 15 transport input ssh Odpovedať Známka: 10.0 Hodnotiť:

Re: absolutno Od: joe07 | Pridané: 14.2.2018 6:03 Haha :) ale na toto musis pouzit rozum a aj nieco vediet... Odpovedať Hodnotiť:

tu bude titulok a hotovo... Od: Adolf Kernel | Pridané: 13.2.2018 9:17 a na konci kodu bolo napisane... Zdrastvujte tavarisi... Odpovedať Známka: -1.3 Hodnotiť:

Re: tu bude titulok a hotovo... Od: taglajf | Pridané: 13.2.2018 9:38 skor sa javia ine pravdepodobnejsie: "For glory of Eternal leader" alebo "Skutok didn´t happen" alebo "Preserving the Freedom, one country at the time" Odpovedať Známka: 5.7 Hodnotiť:

Re: tu bude titulok a hotovo... Od: gmnz | Pridané: 13.2.2018 9:44 Tragicka anglictina :D Odpovedať Známka: -4.7 Hodnotiť:

Re: tu bude titulok a hotovo... Od: dj_v | Pridané: 13.2.2018 9:59 no lebo ujo Kim dbá na dokonalé znalosti Angličtiny. Odpovedať Známka: 6.0 Hodnotiť:

Re: tu bude titulok a hotovo... Od: Hovnocuc | Pridané: 13.2.2018 14:30 Put your hands on stol! Odpovedať Známka: 8.3 Hodnotiť:

Re: tu bude titulok a hotovo... Od: trololoman | Pridané: 13.2.2018 10:04 jj, co myslite preco asi tak kimova sestra prisla do JK a po zahajeni OH odisla? Lebo bola dohliadat nad priebehom utoku. Ved kto iny by uz len mohol mat vacsi zaujem na tom aby JK utrpela fiasko pri organizacii OH ako SK. Odpovedať Známka: 1.8 Hodnotiť:

Re: tu bude titulok a hotovo... Od: Freak | Pridané: 13.2.2018 10:14 Ej tak to im pekne ta nasa tajna sluzba dala, som necakal ze na SK mame takych frajerov, veru ze nie. Odpovedať Známka: 10.0 Hodnotiť:

Re: tu bude titulok a hotovo... Od: taglajf | Pridané: 13.2.2018 11:18 SK frajeri tam praveze doniesli opravy systemov co sposobilo nahodny utok. SIS asi spolupracuje s NBU #neverFORGETnbu123sk Odpovedať Hodnotiť:

Re: tu bude titulok a hotovo... Od: Konspiracion from mather rusia | Pridané: 13.2.2018 14:13 SK means South Korea Odpovedať Hodnotiť:

Re: tu bude titulok a hotovo... Od: RWX | Pridané: 13.2.2018 21:55 Presne tak, už sa kruh uzavrel. South Korea chcela poškodiť Južnej Kórei. Odpovedať Známka: 10.0 Hodnotiť:

Re: tu bude titulok a hotovo... Od: Makovnik | Pridané: 13.2.2018 10:36 Nie, nie, v "tajnom" priecinku budu oskenovane pasy, ako pri teroristickych utokoch. Odpovedať Známka: 6.0 Hodnotiť:

A neporadia sa? Od: Shasho | Pridané: 13.2.2018 9:56 Ani vy ste tu nezachytili ze by to tu s nami zamestnaci ciska rozoberali? Takto maju polovicne info ked sa nepridu poradit do nasej komunity. pche, suflikanti. Odpovedať Známka: 10.0 Hodnotiť:

Re: A neporadia sa? Od: syntaxterrorX XX | Pridané: 13.2.2018 10:19 Presne tak. Infikovanie prvych pocitacov cez wifi z skCUBE je uplne priekazne. Odpovedať Známka: 1.8 Hodnotiť:

Putin revenge Od: werwe | Pridané: 13.2.2018 14:11 moze za to Putin Odpovedať Známka: 0.0 Hodnotiť:

Re: Putin revenge Od: awwda | Pridané: 13.2.2018 15:31 na základe nájdenia priekazne nevyvrátiteľnej stopy, nedojedeného ruského vajca, nájdeného pri jednom z infikovaných počítačov Odpovedať Známka: 7.5 Hodnotiť:

Znížená kvalita Od: Wingdings | Pridané: 13.2.2018 16:46 Čo počúvam v rádiu o tom koľko prezervatívov bolo rozdaných, možno to nie je jediný vírus ktorý sa na OH vyskytuje Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár