КАНКУН /Мексика/, 8 марта. /ТАСС/. Хакерская группировка Lazarus, имеющая северокорейское происхождение, не была организатором кибератаки на IT-инфраструктуру Олимпийских игр в Пхёнчхане, злоумышленники целенаправленно оставили ложные следы. К такому выводу пришли эксперты "Лаборатории Касперского", сообщил руководитель исследовательского центра компании в Азиатско-Тихоокеанском регионе Виталий Камлюк в ходе Security Analyst Summit (SAS 2018).
Незадолго до церемонии открытия Олимпийских игр вирус Olympic Destroyer временно парализовал олимпийские IT-системы. Вредоносная программа вывела из строя экранные мониторы, сеть Wi-Fi и официальный сайт Олимпиады, из-за чего болельщики не могли распечатать билеты. Вирус также затронул работу ряда горнолыжных курортов в Южной Корее - из-за кибератак там не работали турникеты и подъемники.
Ряд экспертов по кибербезопасности спустя несколько дней после обнаружения Olympic Destroyer заявляли, что организаторами атаки якобы выступали хакеры из России, Китая или КНДР. В "Лаборатории Касперского" сначала полагали, что к кибератаке может иметь отношение связанная с Пхеньяном кибергруппировка Lazarus, поскольку некоторые части кода червя на 100% совпадали с используемыми этими хакерами компонентами. Помимо этого, в атаках Olympic Destroyer применялись те же техники и процессы, которые ранее встречались в операциях Lazarus.
Но когда аналитики "Лаборатории Касперского" стали расследовать инциденты непосредственно в Южной Корее, то обнаружили ряд несоответствий между Olympic Destroyer и программным обеспечением Lazarus. Специалисты решили внимательнее изучить вирус и выяснили, что компоненты кода Olympic Destroyer были специально подделаны таким образом, чтобы максимально соответствовать особенностям кода группировки Lazarus.
"Скорее всего, они [авторы кибератаки] рассчитывали на то, что доказать факт подделки этого артефакта будет очень сложно - это как если бы преступник украл чей-то образец ДНК и оставил его на месте преступления вместо собственных следов. Однако мы поняли и доказали, что в случае с Olympic Destroyer обнаруженная "ДНК" была оставлена там намеренно", - сказал Камлюк. "В условиях, когда киберпространство стало столь политизированным, неверная атрибуция может повлечь за собой серьезные последствия. А организаторы атак могут начать манипулировать мнениями в сообществе по кибербезопасности, чтобы повлиять на геополитическую обстановку в мире", - отметил эксперт.
Достоверно пока неизвестно, кто на самом деле стоит за киберинцидентами во время последней зимней Олимпиады, одна из причин этого - уникальность внедрения ложных меток такой высокой сложности. В "Лаборатории Касперского" выяснили, что хакеры использовали обеспечивающий конфиденциальность сервис NordVPN и хостинг-провайдера MonoVM, которые принимают к оплате биткойны. "Эти приемы (наряду с некоторыми другими обнаруженными техниками - прим. ТАСС) ранее встречались в операциях русскоговорящей группировки Sofacy (также известны как APT28 или Fancy Bear - прим. ТАСС)", - отметил Камлюк, добавив, что авторы кибератаки могли оставить и другие ложные следы, кроме обнаруженных.