{"id":15153,"date":"2018-03-09T16:16:49","date_gmt":"2018-03-09T14:16:49","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15153"},"modified":"2022-05-05T12:26:48","modified_gmt":"2022-05-05T10:26:48","slug":"olympic-destroyer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/olympic-destroyer\/15153\/","title":{"rendered":"Olympic Destroyer: chi ha hackerato le Olimpiadi?"},"content":{"rendered":"<p>Tanto, tanto tempo fa, in occasione dei Giochi olimpici, i paesi partecipanti sospendevano guerre e mettevano temporaneamente da parte le dispute politiche. Oggi, invece, avviene il contrario, i conflitti sembrano esacerbarsi. Gli scorsi Giochi olimpici invernali di PyeongChang si sono aperti con uno scandalo: <a href=\"https:\/\/www.reuters.com\/article\/us-olympics-2018-cyber\/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036\" target=\"_blank\" rel=\"noopener nofollow\">alcuni hacker sconosciuti hanno attaccato i server poco prima della cerimonia di apertura<\/a> e molti spettatori non sono riusciti a partecipare alla cerimonia perch\u00e9 non hanno potuto stampare il biglietto di ingresso.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n<p>Come risultato dell\u2019attacco, il malware Olympic Destroyer si \u00e8 impossessato del sito Internet ufficiale delle Olimpiadi invernali, della rete Wi-Fi dello stadio dove aveva luogo l\u2019inaugurazione e ha anche creato problemi alla trasmissione dell\u2019evento. Il comitato organizzatore ha affermato che non ci sono state conseguenze significative, ma il clamore suscitato non \u00e8 stato da poco. Pu\u00f2 essere quindi interessante sapere cosa \u00e8 accaduto esattamente e chi c\u2019\u00e8 dietro a tutto ci\u00f2.<\/p>\n<h3><strong>Come funziona Olympic Destroyer<\/strong><\/h3>\n<p>Dal punto di vista del metodo di propagazione, Olympic Destroyer \u00e8 un worm di rete. I nostri esperti hanno scoperto almeno tre piattaforme di lancio infettate inizialmente che poi sono servite per propagare il worm. Tra queste c\u2019erano <a href=\"http:\/\/pyeongchang2018.com\" target=\"_blank\" rel=\"noopener nofollow\">pyeongchang2018.com<\/a>, i server di rete degli impianti sciistici e i server di Ator, il fornitore del servizio IT.<\/p>\n<p>Il worm si \u00e8 propagato automaticamente da queste piattaforme alla rete mediante gli share di rete di Windows. Durante l\u2019attacco sono state anche prese le password dai computer infettati, il worm si \u00e8 poi insinuato in questi dispositivi per utilizzarli come ulteriore mezzo di propagazione. Il fine ultimo di Olympic Destroyer era quello di eliminare file dai drive di rete a cui poteva arrivare il worm e chiudere i sistemi infettati.<\/p>\n<h3><strong>Chi ha rovinato la festa?<\/strong><\/h3>\n<p>Blogger e giornalisti hanno fatto diverse ipotesi circa i responsabili di questo sabotaggio della cerimonia di apertura e il perch\u00e9. Si \u00e8 puntato il dito sulla Corea del Nord ancor prima che iniziassero i Giochi in quanto si sospettava che il paese stesse spiando i computer del comitato organizzatore.<\/p>\n<p>Dopo i sospetti si sono spostati ovviamente sulla Russia: solo alcuni membri selezionati del team russo hanno potuto partecipare ai Giochi (sottoposti a rigide restrizioni) ed \u00e8 stata anche vietata la bandiera nazionale. Ma quando sono state riscontrate delle somiglianze tra Olympic Destroyer e un altro importante malware creato da cybercriminali cinesi, allora i sospetti sono caduti sulla Cina.<\/p>\n<h3><strong>Kaspersky Lab sta effettuando alcune indagini<\/strong><\/h3>\n<p>Mentre l\u2019opinione pubblica faceva le sue speculazioni, gli esperti in cybersicurezza andavano in cerca di prove. E anche Kaspersky Lab ha portato avanti le sue indagini.<\/p>\n<p>All\u2019inizio i nostri esperti, come molti altri del resto, hanno sospettato dei cybercriminali nordcoreani, in particolare del <a href=\"https:\/\/www.kaspersky.it\/blog\/operation-blockbuster\/7580\/\" target=\"_blank\" rel=\"noopener\">gruppo Lazarus.<\/a> Dopo aver esaminato un campione di Olympic Destroyer, i ricercatori hanno trovato una serie di \u201cimpronte digitali informatiche\u201d che portavano direttamente a Lazarus.<\/p>\n<p>Tuttavia, indagando a fondo, i nostri esperti hanno trovato alcune discrepanze e, dopo un attento riesame delle \u201cprove\u201d e uno studio dettagliato del codice, si sono resi conto che le prove pi\u00f9 decisive erano in realt\u00e0 un\u2019imitazione fedele, un cosiddetto false flag.<\/p>\n<p>Inoltre, quando i nostri esperti hanno studiato meglio il worm Olympic Destroyer, hanno scoperto che le prove portavano a un colpevole totalmente diverso, il <a href=\"https:\/\/www.kaspersky.it\/blog\/sofacy-2017-update\/15104\/\" target=\"_blank\" rel=\"noopener\">gruppo hacker russo Sofacy<\/a> (conosciuto anche come APT28 o Fancy Bear). Tuttavia, non possiamo scartare la possibilit\u00e0 che siano prove false. Quando si ha a che fare con cyberspionaggio di alto livello, non si pu\u00f2 mai essere sicuri al 100%.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gli esperti di Kaspersky Lab hanno analizzato le prove digitali che riguardano l\u2019attacco hacker durante le ultime Olimpiadi invernali, alla ricerca dei responsabili.<\/p>\n","protected":false},"author":2706,"featured_media":15154,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12,2642],"tags":[2646,592,830,632,682,2760,191,2763,2761,2762,2764,925,2645,1363,2740,2765],"class_list":{"0":"post-15153","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-thesas2018","11":"tag-apt","12":"tag-attacchi-mirati","13":"tag-cybercriminali","14":"tag-great","15":"tag-indagini","16":"tag-kaspersky-lab","17":"tag-lazarus","18":"tag-olympic-destroyer","19":"tag-olympics","20":"tag-prove-false","21":"tag-sas","22":"tag-sas-2018","23":"tag-security-analyst-summit","24":"tag-sofacy","25":"tag-the-sas-2018"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/olympic-destroyer\/15153\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/olympic-destroyer\/12750\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/olympic-destroyer\/10555\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/olympic-destroyer\/5658\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/olympic-destroyer\/14867\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/olympic-destroyer\/13181\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/olympic-destroyer\/12607\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/olympic-destroyer\/15492\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/olympic-destroyer\/19860\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/olympic-destroyer\/21494\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/olympic-destroyer\/10084\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/olympic-destroyer\/9059\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/olympic-destroyer\/16058\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/olympic-destroyer\/19837\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/olympic-destroyer\/19781\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/olympic-destroyer\/19807\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sas-2018\/","name":"SAS 2018"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=15153"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15153\/revisions"}],"predecessor-version":[{"id":18663,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15153\/revisions\/18663"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/15154"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=15153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=15153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=15153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}