L’ouverture des Jeux olympiques d’hiver de Pyeongchang perturbée par attaque de malware

Le porte-drapeau des Tonga aux Jeux olympiques d'hiver de Pyeongchang en 2018 n'a peut-être pas été en mesure de commander un maillot sur le site officiel des Jeux à temps, grâce au programme malveillant qui a entraîné la destruction des réseaux olympiques des Jeux olympiques.Enlarge / Le porte-drapeau des Tonga à l’hiver 2018 de Pyeongchang Les Jeux olympiques n’ont peut-être pas été en mesure de commander une chemise pour les Jeux site officiel à temps, grâce aux logiciels malveillants Les réseaux olympiques en panne.Steve Russell / Getty Images

Le comité d’organisation des Jeux olympiques d’hiver de Pyeongchang confirmé dimanche qu’une attaque de malware était responsable des perturbations de le réseau des Jeux olympiques avant et pendant les cérémonies d’ouverture le Vendredi. Juste avant la cérémonie d’ouverture, le site officiel de les Jeux d’hiver ont chuté, empêchant les participants d’imprimer billets pour des événements ou obtenir des informations sur le lieu. Le site n’était pas restauré jusqu’à 8h le samedi matin. Plusieurs réseaux sont tombés en panne, y compris le réseau Wi-Fi dans le stade et le réseau dans le Centre de presse olympique.

La cause en était une attaque de malware “d’essuie-glace” qui s’était répandue à travers le réseau officiel des Jeux Pyeongchang en utilisant des objets volés identifiants. Le réseau n’a pas été complètement restauré avant 8h du matin samedi, 12 heures complètes après le début de l’attaque, le Gardien rapporté.

Dans un blog aujourd’hui, les chercheurs de Cisco Talos Intelligence Warren Mercer et Paul Rascagneres ont révélé que Talos avait identifié (“avec une confiance moyenne”) certains des logiciels malveillants utilisés dans l’attaque. Il n’a pas été déterminé comment le malware était introduit dans le réseau, mais les fichiers binaires examinés par Talos a montré que l’attaquant avait une connaissance intime de la Pyeongchang systèmes du réseau.

“L’auteur du malware connaissait beaucoup de détails techniques de la Infrastructure de jeu olympique telle que nom d’utilisateur, nom de domaine, serveur nom, et évidemment mot de passe “, ont écrit Mercer et Rascagneres.” Nous identifié 44 comptes individuels dans le binaire. “Certains de ces étaient des noms d’utilisateur assez génériques, mais d’autres étaient destinés à des utilisateurs spécifiques ou des agents logiciels.

Le programme malveillant “dropper” a utilisé ces informations d’identification et a installé malware du navigateur et du système d’exploitation volant les logiciels malveillants à récolter les identifiants et mots de passe d’autres utilisateurs pour aider à se propager à travers le réseau. Les chercheurs de Talos ont noté que des éléments de le logiciel malveillant utilisé pour collecter les informations d’identification des systèmes ciblés utilisé le même canal de communication inter-processus que le mauvais Lapor cryptoransomware et les attaques d’essuie-glace de NotPetya l’année dernière (le Ce canal est utilisé pour renvoyer les noms d’utilisateur et les mots de passe au code compte-gouttes).

Le compte-gouttes a recherché d’autres systèmes à cibler en exécutant une Demande WMI (Windows Management Instrumentation) pour répertorier tous les systèmes au sein de la même arborescence Active Directory et en vérifiant Table ARP (protocole de résolution d’adresses TCP / IP) de Windows avec un Demande de l’API Windows.

Une fois que le compte-gouttes a trouvé des cibles et s’est connecté avec succès � le logiciel malveillant utilisait l’outil PsExec, une application Windows légitime. outil d’administration installé par le compte-gouttes – pour exécuter à distance un script Visual Basic (VBScript) sur les systèmes ciblés qui s’est copié sur eux et a relancé le processus.

Le programme malveillant diffusé par le compte-gouttes dissimulait ses programmes malveillants activité en exécutant tout cela via la commande de Windows interpréteur, cmd.exe – suppression de toutes les copies “fantômes” des fichiers et Catalogues de sauvegarde Windows, désactivation du mode de récupération dans le démarrage de Windows Configuration Data Store, puis arrêter tous les services et les marquant comme handicapés. Le logiciel malveillant efface ensuite la sécurité et journaux système pour couvrir ses traces.

L’attaque semble avoir été conçue spécifiquement pour embarrasser les organisateurs olympiques en perturbant l’ouverture du Jeux, car il n’existait aucune preuve de vol de données de la part du réseau dans le processus. La nature du malware suggère bonne collecte de renseignements avancée, y compris potentiellement à l’intérieur connaissance des systèmes du comité d’organisation de Pyeongchang et une équipe professionnelle fournissant le développement en utilisant bien techniques et outils. Qui correspondrait exactement à ce profil – et qui voudrait perturber les Jeux olympiques d’hiver, reste comme une pensée exercice pour le lecteur.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: