Похоже, что Olympic Destroyer — изощренная APT-угроза, пытавшаяся саботировать зимние Олимпийские игры 2018 года в Южной Корее — снова с нами. Недавно наши эксперты обнаружили следы похожей активности, но в этот раз нацеленной на финансовые организации в России и на лаборатории по предотвращению биологических и химических угроз в Нидерландах, Германии, Франции, Швейцарии и на Украине.
В чем опасность?
Оригинальный Olympic Destroyer использовал изощренные способы маскировки. Во-первых, авторы составили весьма убедительные подложные документы, в которых был спрятан зловред. Во-вторых, они не поскупились на механизмы обфускации, чтобы скрыть вредоносный код от защитных решений. Наконец, самое интересное: злоумышленники добавили множество ложных улик, чтобы специалистам было сложнее проанализировать атаку и установить ее авторов.
Сейчас в руки наших экспертов попали новые документов для целевого фишинга, боевая нагрузка которых напоминает ту, что мы видели в исходном Olympic Destroyer. Признаков распространения червя пока нет, но поддельные документы могут быть частью разведывательного этапа операции (зимняя кибердиверсия тоже предварялась прощупыванием почвы в 2017 году). Техническое описание зловреда и его инфраструктуры вместе с индикаторами заражения приведены в посте на Securelist.
Новые интересы
Главное отличие свежей реинкарнации Olympic Destroyer — сфера интересов. Мы проанализировали подставные письма и прошли к выводу, что в этот раз злоумышленники пытаются внедрить свои вредоносы в лаборатории по анализу биологических и химических угроз. В перечне их целей также оказались российские финансовые учреждения, но нам пока неясно, действительно ли операторы атаки хотят разжиться деньгами или это очередной отвлекающий маневр.
Помимо замаскированных вредоносных скриптов документы содержат упоминания Spiez Convergence (швейцарской конференции по исследованию биохимических угроз), нервно-паралитического вещества, которым предположительно отравили Сергея Скрипаля и его дочь в Солсбери, а также указов Министерства здравоохранения Украины.
Риски для вашего бизнеса
Когда речь идет о фишинговых угрозах, обычно мы в первую очередь советуем не открывать подозрительные вложения. К сожалению, в этот раз такая рекомендация бесполезна: в текущей кампании целевого фишинга документы не вызывают подозрений, поскольку злоумышленники составляют каждый из них так, чтобы заинтересовать конкретную жертву.
Поэтому единственное, что мы можем посоветовать европейским организациям, работающим в сфере исследования и предотвращения биохимических угроз, — это провести внеплановый аудит безопасности. И, конечно, установить надежные защитные решения. Наши системы успешно выявляют и блокируют зловреды связанные с Olympic Destroyer.