Zimowe Igrzyska Olimpijskie: pokojowe zawody, cyberwojna i szpiegostwo
Zimowe Igrzyska Olimpijskie to impreza z założenia pokojowa, ale cyberprzestępcy nie czują się zobowiązani do świętowania. Jeszcze przed ceremonią otwarcia Igrzysk pojawiły się informacje o cyberatakach różnego typu. Specjaliści spodziewają się niemal tradycyjnych ataków ze strony Korei Północnej i Rosji, w ramach zemsty za wykluczenie rosyjskich sportowców z zawodów.
12.02.2018 20:20
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
O pierwszych atakach słyszeliśmy już 8 stycznia – miesiąc przed otwarciem zawodów. Firma McAfee poinformowała o kampanii phishingowej „Operation PowerShell Olympics”, której celem były podmioty zapewniające infrastrukturę i usługi podczas imprezy – między innymi e-maile obsługi turnieju hokeja na lodzie.
Wiadomości wyglądają, jakby pochodziły od koreańskich służb antyterrorystycznych, łącznie z autentycznie wyglądającymi adresami nadawców. Wiadomości zawierały odnośniki do wyglądających na oficjalne dokumentów, pobierających obrazki z zaszytymi złośliwymi skryptami PowerShella. Atak jest o tyle ciekawy, że wykorzystany został nieznany wcześniej malware, łączący się szyfrowanym kanałem z serwerami macierzystymi z pamięci (atak „bezplikowy”).
W międzyczasie rosyjscy cyberszpiedzy, nazywający się Fancy Bear, od tygodni publikują w Sieci informacje mające zdyskredytować organizatorów zawodów i osoby odpowiedzialne za wykrycie dopingu wśród rosyjskich atletów. W styczniu opublikowali dokumenty i korespondencję, pochodzące rzekomo z Międzynarodowej Federacji Saneczkarskiej, pokazujące naruszenia zasad. Trend Micro informował o atakach Fancy Bear także na Międzynarodową Federację Narciarską, Federację Bobsleja i Toboganu oraz Międzynarodową Unię Biathlonową. Ataki te to ewidentnie zemsta za wykluczenie z Olimpiady rosyjskich sportowców, przyłapanych na dopingu.
Ceremonia otwarcia Zimowych Igrzysk Olimpijskich nie przebiegła bez problemów. W niedzielę organizatorzy Igrzysk potwierdzili, że za awaria dostępu do Internetu i niestabilne działanie WiFi to konsekwencja cyberataku. Przez 12 godzin nie działała strona imprezy, kibice nie mogli drukować biletów, które nabyli, ani sprawdzać aktualności. Były też problemy z nadawaniem telewizji i pracą w centrum prasowym. Źródło ataku nie zostanie podane do wiadomości publicznej, a organizatorzy zapewniają, że systemy są już bezpieczne.
Nie trzeba było długo czekać na kolejny raport. Jego bohaterem jest malware nazwany Olympic Destroyer, mający na celu wprowadzenie chaosu podczas ceremonii otwierających zawody. Analitycy z oddziału Talos (część Cisco) twierdzą, że to on ponosi winę za piątkowe problemy. Robak został zaprojektowany, by „skakać” między maszynami w atakowanej sieci i niszczyć określone dane, w tym rekordy rozruchowe. Do jego zadań należało też ponowne uruchamianie maszyn tak, by system nie został załadowany. Jego działanie przypomina BadRabbit, co sugeruje, że pochodzi z Ukrainy. Znamiennym jest, że choć mógł, nie robił trwałych szkód. Punktem wyjścia były 44 konta osób pracujących przy organizacji zawodów. Na razie nie wiadomo, skąd hakerzy mieli ich dane logowania.
Warto też wspomnieć, że Intel odwołał pokaz możliwości dronów. Oficjalnie powodem było zbyt wielu widzów stojących w wyznaczonym na pokaz obszarze.
Organizatorzy Igrzysk spodziewają się najgorszego. Impreza jest tak zautomatyzowana i usieciowiona, że możliwe jest wszystko, łącznie ze zdalnym wyłączaniem świateł w obiektach sportowych, co stwarza fizyczne zagrożenie. Gospodarz Olimpiady Zimowej, Korea Południowa, zmobilizowała kilkadziesiąt tysięcy osób do ochrony imprezy. W tym znaleźli się specjaliści z dziedziny cyberbezpieczeństwa, sponsorzy i 50 tysięcy żołnierzy. Amerykanie otworzyli tymczasową bazę monitorującą cyberprzestrzeń, korzystając z ambasady w Seulu.