奧林匹克偽旗行動惡名昭彰的OlympicDestroyer惡意軟件

王蕊

一種最新的歸屬判斷方法幫助卡巴斯基實驗室發(fā)現(xiàn)一種非常復雜的偽旗行動。

近日，卡巴斯基實驗室全球研究和分析團隊發(fā)表了對OlympicDestroyer惡意軟件的研究結(jié)果，提供技術(shù)證據(jù)證明惡意軟件制作者在蠕蟲內(nèi)部設(shè)置了一個非常復雜的偽旗行動，從而迷惑威脅追蹤者，無法發(fā)現(xiàn)其真正的來源。

OlympicDestroyer蠕蟲在冬季奧利匹克運動會期間多次登上新聞頭條。2018年的平昌奧運會遇到了網(wǎng)絡(luò)攻擊，在正式的開幕式之前導致IT系統(tǒng)暫時癱瘓，并且關(guān)閉了顯示器，切斷了WiFi，導致奧運會網(wǎng)站無法顯示，使得觀眾無法通過網(wǎng)站打印門票?？ò退够鶎嶒炇疫€發(fā)現(xiàn)韓國多個滑雪場設(shè)施遭到這一蠕蟲的攻擊，造成滑雪場的大門和纜車無法運營。盡管這次的惡意軟件攻擊造成的影響有限，但很明顯表現(xiàn)出了破壞性，幸運的是，這樣的結(jié)果并沒有發(fā)生。

盡管如此，網(wǎng)絡(luò)安全行業(yè)的真正興趣并不在于Destroyer惡意軟件攻擊造成的潛在危害甚至實際損失，而在于惡意軟件的來源。也許沒有任何一款其他復雜的惡意軟件能夠像OlympicDestroyer這樣有如此多的歸屬猜想。這款惡意軟件被發(fā)現(xiàn)后幾天內(nèi)，來自全球的研究團隊根據(jù)一些之前不同國家或為這些國家政府工作的黑客的網(wǎng)絡(luò)間諜活動的特性和破壞者特征，找到了可能的來源。

卡巴斯基實驗室的研究人員也試圖發(fā)現(xiàn)這款惡意軟件背后的黑客組織是誰。在某個研究階段，他們發(fā)現(xiàn)了看上去將這種軟件與一些著名惡意軟件100%聯(lián)系起來的證據(jù)。

這個結(jié)論是基于攻擊者留下的獨特痕跡，存儲在文件中代碼開發(fā)環(huán)境的某些特征的組合可以用作“指紋”，在某些情況下可以識別惡意軟件編寫者及其他項目?？ò退够鶎嶒炇曳治龅臉颖局?，發(fā)現(xiàn)的指紋與之前已知的惡意軟件組件100%匹配，與卡巴斯基實驗室已知的所有干凈文件或惡意文件重疊率為零。結(jié)合其攻擊策略、技巧和流程（TTP），研究人員得出初步結(jié)論，認為OlympicDestroyer是某黑客組織發(fā)起的另一次攻擊行動。但是，卡巴斯基實驗室在韓國的被攻擊現(xiàn)場進行實地調(diào)查后發(fā)現(xiàn)，這種惡意軟件與該黑客組織在動機上和其它地方有很多不一致之處，使得研究人員重新審視了這些罕見的證據(jù)。

研究人員仔細研究了每個特征的證據(jù)和手動驗證之后，發(fā)現(xiàn)該特征與代碼不匹配———這種惡意軟件的特征已經(jīng)被偽造成完全符合Lazarus使用的“指紋”。

因此，研究人員得出結(jié)論：特征“指紋”是一個非常復雜的偽旗行動，故意放置在惡意軟件中，以便給威脅追蹤者造成假象，讓他們誤以為已經(jīng)找到了確實的證據(jù)，讓他們無法更準確地對這種威脅進行歸屬判斷。

“據(jù)我們所知，我們發(fā)現(xiàn)的證據(jù)之前未被用于歸屬判斷。但是攻擊者決定使用它，并預測有人會發(fā)現(xiàn)這些證據(jù)。他們認為偽造這種證據(jù)非常難以證明。這就好像是罪犯盜取了他人的DNA，將其留在了犯罪現(xiàn)場，而沒有留下自己的證據(jù)。我們發(fā)現(xiàn)并證明了在犯罪現(xiàn)場發(fā)現(xiàn)的DNA是罪犯故意留下的。所有這些都表明攻擊者為了保持盡可能長時間不被發(fā)現(xiàn)，花費了很多精力。我們一直認為，在網(wǎng)絡(luò)空間進行歸屬判斷是非常困難的，因為有很多東西都可以被偽造，而OlympicDestroyer就是一個很好的例子?！笨ò退够鶎嶒炇襾喬珔^(qū)研究團隊負責人Vitaly Kamluk補充說：“對我們來說，這個故事的另一個要點是對威脅的歸屬判斷必須非常嚴肅。考慮到最近網(wǎng)絡(luò)空間的政治化程度，錯誤的歸屬判斷可能會導致嚴重的后果，威脅攻擊者可能會試圖操縱安全社區(qū)的意見，從而影響地緣政治議程。”

OlympicDestroyer的準確歸屬仍然是一個懸而未決的問題———它很好地示例了復雜的偽旗行動的執(zhí)行。但是，卡巴斯基實驗室研究人員發(fā)現(xiàn)攻擊者使用了隱私保護服務(wù)NordVPN和名為MonoVM的服務(wù)，而且這兩個服務(wù)商都接受比特幣，這些證據(jù)以及其他一些已發(fā)現(xiàn)的TTP之前曾被一些黑組織使用過。