Cyberattacken auf Olympia unter falscher Flagge

Eine umfassende Untersuchung einer Malware-Attacke während der olympischen Spiele in Pyeongchang gibt Rätsel über die Hintermänner auf.

Während der olympischen Spiele in Pyeongchang wurden die IT-Systeme der Sportveranstaltung angegriffen. Jetzt veröffentlichen die Sicherheitsexperten von Kaspersky Lab die Ergebnisse einer detaillierten Untersuchung des Angriffs. Interessant dabei ist ein so genannter False Flag, sozusagen eine falsche Fährte, die den Verdacht auf andere Täter lenken soll.

„Olympic Destroyer“ ist eine Wurm-Malware, die im Vorfeld der Eröffnungsfeier in Pyeongchang die IT-Systeme lahmlegte. Monitore und WLAN-Angebote und auch die Website der olympischen Spiele fielen aus. So konnten Besucher keine Eintrittskarten mehr drucken. Auch Einrichtungen an den Skipisten in Südkorea waren betroffen, so dass Zugänge und Skilifte nicht mehr genutzt werden konnten. Wirklich schwerwiegende Auswirkungen hatte die Attacke jedoch nicht.

Die IT-Architektur der olympischen Winterspiele in Pyeongchang wurde von verschiedenen Seiten angegriffen. Eine zunächst gefundene heiße Spur stellte sich jedoch schnell als ein vom Angreifer gelegtes Täuschungsmanöver heraus (Bild: Kaspersky) Die IT-Architektur der olympischen Winterspiele in Pyeongchang wurde von verschiedenen Seiten angegriffen. Eine zunächst gefundene heiße Spur stellte sich jedoch schnell als ein vom Angreifer gelegtes Täuschungsmanöver heraus (Bild: Kaspersky)

Doch wer steht hinter diese Attacke? Die Beantwortung dieser Frage war im Fall von Olympic Destroyer jedoch besonders knifflig. Zunächst standen die üblichen Verdächtigen Russland, China oder Nordkorea im Verdacht und die Experten untersuchten dazu eine Reihe bekannter Merkmale, die Akteuren im Bereich Cyberspionage und Sabotage zugeschrieben wurden.

Doch bald wurden eindeutige Spuren entdeckt, die ganz klar auf eine Verbindung zur Lazarus-Gruppe hindeutete. Die berüchtigte Gruppe wird mit Nordkorea in Zusammenhang gebracht. Diese Spur hatten die Angreifer hinterlassen. Diese ist eine Kombination verschiedener Features der verwendeten Entwicklungsumgebung. Diese „virtuellen Fingerabdrücke“ enthüllen teilweise die Hintermänner.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

In einem von Kaspersky Lab analysierten Sample wurde eine hundertprozentige Übereinstimmung mit früheren Lazarus-Malware-Komponenten gefunden. Auffällig war jedoch, dass es keinerlei Verbindungen zu anderen, bislang bei Kaspersky Lab bekannten Dateien gab.

Da es weitere Ähnlichkeiten hinsichtlich der eingesetzten Taktiken, Techniken und Prozeduren (TTPs) gab, nahmen die Experten zunächst an, Olympic Destroyer sei eine Operation von Lazarus. Kaspersky Lab untersuchte jedoch auch die geschädigten Einrichtungen in Südkorea. Dort stießen die Experten auf Ungereimtheiten zu den Lazarus-typischen Prozeduren. Daher wurde das außergewöhnliche Artefakt erneut untersucht.
Bei der manuell durchgeführten Verifikation einzelnen Merkmals zeigte sich, dass das Set der Merkmale nicht zum Code passte. Der Schluss der Kaspersky-Experten: Der Fingerabdruck wurde gefälscht, um eine perfekte Übereinstimmung mit dem Fingerabdruck von Lazarus zu suggerieren.

Die Experten werten daher den Fingerabdruck der Merkmale als einen hochentwickelten False-Flag-Hinweis, der ganz bewusst in die Malware eingebaut wurde. Offenbar wollten die Angreifer den Eindruck erwecken, dass es bereits einen unzweifelhaften Hinweis gibt, damit die Sicherheitsanalysten keine weiteren Untersuchungen mehr durchführen.

„Nach unseren Informationen wurde der von uns gefundene Hinweis noch nie bei einer Zuschreibung verwendet. Dennoch haben die Angreifer beschlossen, ihn zu nutzen, in der Annahme, jemand würde ihn finden“, erklärt Vitaly Kamluk, Head of APAC Research Team bei Kaspersky Lab. „Sie setzten darauf, dass eine Fälschung des Artefakts nur sehr schwer zu beweisen ist. Das ist so, als hätten Kriminelle die DNA eines Dritten gestohlen und würden diese dann statt ihrer eigenen am Tatort hinterlassen.“

Die Kaspersky-Experten sehen es jedoch als erwiesen an, dass diese Spur absichtlich gelegt wurde. Viele Merkmale könnten bei einer Cyberattacke gefälscht werden, und dafür sei Olympic Destroyer ein gutes Beispiel, so Kamluk weiter.

„Zieht man in Betracht, wie politisch aufgeladen der Cyberspace derzeit ist, könnte eine falsche Zuordnung zu schweren Konsequenzen führen. Akteure könnten versuchen, Einschätzungen der Sicherheitsbranche zu manipulieren und die geopolitische Agenda zu beeinflussen“, warnt der Kaspersky-Experte.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Nachdem sich die gelegte Spur als Täuschnungsmanöver herausgestellt hat, sind die Experten nach wie vor auf der Suche nach den wahren Hintermännern. Die hochentwickelte Implementierung der „falschen Flagge“ sei bislang ohne Beispiel.

Die Angreifer hätten aber zum Schutz der Privatsphäre den Dienst NordVPN und einen Hosting Provider namens MonoVM genutzt. Beide Anbieter lassen Bitcoins als Zahlungsmittel zu. Diese und weitere ermittelte TTPs wurden bereits von Sofacy genutzt, einem russischsprachigen Akteur.

Auch die Cisco-Sicherheits-Tochter Talos kommt in einem Blog zu dem Schluss, dass die Zuschreibung der Urheberschaft speziell in diesem Fall reichlich schwierig sein dürfte. Denn die Akteure zeigen zwar einen hohen Grad an Entwicklung, nutzen jedoch vielfach Open-Source-Tools, die von jedermann verwendet werden können. Die neue Malware-Attacke setze hier aber neue Maßstäbe: „Die Zuordnung ist bereits schwierig. Aber es ist unwahrscheinlich, dass sie künftig einfacher wird.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Malware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Cyberattacken auf Olympia unter falscher Flagge

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *