一种最新的归属判断方法帮助卡巴斯基实验室发现一种非常复杂的伪旗行动
卡巴斯基实验室全球研究和分析团队发表了对OlympicDestroyer恶意软件的研究结果,提供技术证据证明恶意软件制作者在蠕虫内部设置了一个非常复杂的伪旗行动,从而迷惑威胁追踪者,无法发现其真正的来源。
OlympicDestroyer蠕虫在冬季奥利匹克运动会期间多次登上新闻头条。今年的平昌奥运会遇到了网络攻击,在正式的开幕式之前导致IT系统暂时瘫痪,并且关闭了显示器,切断了Wi-Fi,导致奥运会网站无法显示,使得观众无法通过网站打印门票。卡巴斯基实验室还发现韩国多个滑雪场设施遭到这一蠕虫的攻击,造成滑雪场的大门和缆车无法运营。尽管这次的恶意软件攻击造成的影响有限,但很明显表现出了破坏性,幸运的是,这样的结果并没有发生。
尽管如此,网络安全行业的真正兴趣并不在于Destroyer恶意软件攻击造成的潜在危害甚至实际损失,而在于恶意软件的来源。也许没有任何一款其他复杂的恶意软件能够像OlympicDestroyer这样有如此多的归属猜想。这款恶意软件被发现后几天内,来自全球的研究团队根据一些之前不同国家或为这些国家政府工作的黑客的网络间谍活动的特性和破坏者特征,将该恶意软件归属为俄罗斯、中国和朝鲜。
卡巴斯基实验室的研究人员也试图发现这款恶意软件背后的黑客组织是谁。在某个研究阶段,他们发现了看上去将这种软件与Lazarus恶意软件100%联系起来的证据。而Lazarus则是一种知名的与朝鲜有关的政府资助的黑客组织。
这个结论是基于攻击者留下的独特痕迹。存储在文件中代码开发环境的某些特征的组合可以用作“指纹”,在某些情况下可以识别恶意软件编写者及其他项目。卡巴斯基实验室分析的样本中,发现的指纹与之前已知的Lazarus恶意软件组件100%匹配,与卡巴斯基实验室已知的所有干净文件或恶意文件重叠率为零。结合其攻击策略、技巧和流程(TTP),研究人员得出初步结论,认为OlympicDestroyer是Lazarus黑客组织发起的另一次攻击行动。但是,卡巴斯基实验室在韩国的被攻击现场进行实地调查后发现,这种恶意软件与Lazarus TTPs在动机上和其它地方有很多不一致之处,使得研究人员重新审视了这些罕见的证据。
研究人员仔细研究了每个特征的证据和手动验证之后,发现该特征与代码不匹配 ——这种恶意软件的特征已经被伪造成完全符合Lazarus使用的指纹。
因此,研究人员得出结论:特征“指纹”是一个非常复杂的伪旗行动,故意放置在恶意软件中,以便给威胁追踪者造成假象,让他们误以为已经找到了确实的证据,让他们无法更准确地对这种威胁进行归属判断。
据我们所知,我们发现的证据之前未被用于归属判断。但是攻击者决定使用它,并预测有人会发现这些证据。他们认为伪造这种证据非常难以证明。这就好像是罪犯盗取了他人的DNA,将其留在了犯罪现场,而没有留下自己的证据。我们发现并证明了在犯罪现场发现的DNA是罪犯故意留下的。所有这些都表明攻击者为了保持尽可能长时间不被发现,花费了很多精力。我们一直认为,在网络空间进行归属判断是非常困难的,因为有很多东西都可以被伪造,而OlympicDestroyer就是一个很好的例子,“卡巴斯基实验室亚太区研究团队负责人Vitaly Kamluk说。
“对我们来说,这个故事的另一个要点是对威胁的归属判断必须非常严肃。考虑到最近网络空间的政治化程度,错误的归属判断可能会导致严重的后果,威胁攻击者可能会试图操纵安全社区的意见,从而影响地缘政治议程,“他补充说。
OlympicDestroyer的准确归属仍然是一个悬而未决的问题——它很好地示例了复杂的伪旗行动的执行。但是,卡巴斯基实验室研究人员发现攻击者使用了隐私保护服务NordVPN和名为MonoVM的服务,而且这两个服务商都接受比特币。这些证据以及其他一些已发现的TTP之前曾被使用俄语的威胁组织Sofacy使用过。
卡巴斯基实验室产品能够成功检测和拦截OlympicDestroyer恶意软件。
阅读更多有关卡巴斯基实验室如何在韩国和欧洲调查OlympicDestroyer攻击的详情,请访问我们在Securelist.com上的博文。