Olympic Destroyer: chi ha hackerato le Olimpiadi?

9 Mar 2018

Tanto, tanto tempo fa, in occasione dei Giochi olimpici, i paesi partecipanti sospendevano guerre e mettevano temporaneamente da parte le dispute politiche. Oggi, invece, avviene il contrario, i conflitti sembrano esacerbarsi. Gli scorsi Giochi olimpici invernali di PyeongChang si sono aperti con uno scandalo: alcuni hacker sconosciuti hanno attaccato i server poco prima della cerimonia di apertura e molti spettatori non sono riusciti a partecipare alla cerimonia perché non hanno potuto stampare il biglietto di ingresso.

Come risultato dell’attacco, il malware Olympic Destroyer si è impossessato del sito Internet ufficiale delle Olimpiadi invernali, della rete Wi-Fi dello stadio dove aveva luogo l’inaugurazione e ha anche creato problemi alla trasmissione dell’evento. Il comitato organizzatore ha affermato che non ci sono state conseguenze significative, ma il clamore suscitato non è stato da poco. Può essere quindi interessante sapere cosa è accaduto esattamente e chi c’è dietro a tutto ciò.

Come funziona Olympic Destroyer

Dal punto di vista del metodo di propagazione, Olympic Destroyer è un worm di rete. I nostri esperti hanno scoperto almeno tre piattaforme di lancio infettate inizialmente che poi sono servite per propagare il worm. Tra queste c’erano pyeongchang2018.com, i server di rete degli impianti sciistici e i server di Ator, il fornitore del servizio IT.

Il worm si è propagato automaticamente da queste piattaforme alla rete mediante gli share di rete di Windows. Durante l’attacco sono state anche prese le password dai computer infettati, il worm si è poi insinuato in questi dispositivi per utilizzarli come ulteriore mezzo di propagazione. Il fine ultimo di Olympic Destroyer era quello di eliminare file dai drive di rete a cui poteva arrivare il worm e chiudere i sistemi infettati.

Chi ha rovinato la festa?

Blogger e giornalisti hanno fatto diverse ipotesi circa i responsabili di questo sabotaggio della cerimonia di apertura e il perché. Si è puntato il dito sulla Corea del Nord ancor prima che iniziassero i Giochi in quanto si sospettava che il paese stesse spiando i computer del comitato organizzatore.

Dopo i sospetti si sono spostati ovviamente sulla Russia: solo alcuni membri selezionati del team russo hanno potuto partecipare ai Giochi (sottoposti a rigide restrizioni) ed è stata anche vietata la bandiera nazionale. Ma quando sono state riscontrate delle somiglianze tra Olympic Destroyer e un altro importante malware creato da cybercriminali cinesi, allora i sospetti sono caduti sulla Cina.

Kaspersky Lab sta effettuando alcune indagini

Mentre l’opinione pubblica faceva le sue speculazioni, gli esperti in cybersicurezza andavano in cerca di prove. E anche Kaspersky Lab ha portato avanti le sue indagini.

All’inizio i nostri esperti, come molti altri del resto, hanno sospettato dei cybercriminali nordcoreani, in particolare del gruppo Lazarus. Dopo aver esaminato un campione di Olympic Destroyer, i ricercatori hanno trovato una serie di “impronte digitali informatiche” che portavano direttamente a Lazarus.

Tuttavia, indagando a fondo, i nostri esperti hanno trovato alcune discrepanze e, dopo un attento riesame delle “prove” e uno studio dettagliato del codice, si sono resi conto che le prove più decisive erano in realtà un’imitazione fedele, un cosiddetto false flag.

Inoltre, quando i nostri esperti hanno studiato meglio il worm Olympic Destroyer, hanno scoperto che le prove portavano a un colpevole totalmente diverso, il gruppo hacker russo Sofacy (conosciuto anche come APT28 o Fancy Bear). Tuttavia, non possiamo scartare la possibilità che siano prove false. Quando si ha a che fare con cyberspionaggio di alto livello, non si può mai essere sicuri al 100%.