Novi metod pronalaženja krivaca je pomogao kompaniji Kaspersky Lab da identifikuje izuzetno sofisticirane operacije pod lažnom zastavom („false flag”)
Globalni tim za analizu i istraživanja kompanije Kaspersky Lab je objavio rezultate svog istraživanja o napadima malvera „Olympic Destroyer” i obezbedio dokaze o izuzetno sofisticiranom lažnom kodu koju je kreator malvera smestio u „crva“, kako bi lovcima na pretnje zavarao trag.
„Olympic Destroyer” crv postao je poznat tokom zimskih Olimpijskih igara. Olimpijske igre u Pjongčangu bile su na udaru sajber napada koji je privremeno paralizovao IT sisteme pred samu ceremoniju otvaranja, tako što je gasio monitore, Wi-Fi mreže i obarao zvaničnu veb stranicu OI, zbog čega posetioci nisu bili u mogućnosti da štampaju svoje karte. Kompanija Kaspersky Lab je takođe otkrila da je i nekoliko objekata ski centra u Južnoj Koreji bilo žrtva ovog crva, koji je onesposobio rad ski kapija i gondole na skijalištu. Iako posledice samog napada nisu bile značajne, bilo je jasno da je on imao kapacitet da bude veoma razoran, što se, na sreću, nije dogodilo.
Ipak, suštinski interes sajber bezbednosne industrije nije moguća ili konkretna šteta koju mogu proizvesti napadi „Destroyer” crva, već njegovo poreklo. Može se reći da se ni o jednom sofisticiranom malveru do sada nije stvaralo toliko teorija kao o „Olympic Destroyer” malveru. Samo nekoliko dana po njegovom otkrivanju, istraživački timovi iz celog sveta pripisivali su ga Rusiji, Kini i Severnoj Koreji, na osnovu osobina prethodnih aktera sajber špijunaže koji su navodno poticali iz ovih zemalja ili radili za njihove vlade.
Istraživači kompanije Kaspersky Lab pokušavali su, takođe, da saznaju koja hakerska grupa se krije iza ovog malvera. Tokom istrage im se učinilo da su pronašli dokaz koji ovaj malver stoprocentno povezuje sa Lazarusom – ozloglašenom sajber kriminalnom grupom povezanom sa Severnom Korejom.
Ovaj zaključak je donesen na osnovu jedinstvenog traga koji su napadači ostavili. Kombinacija određenih osobina okruženja za razvoj koda, koja je smeštena u fajlovima, može biti upotrebljena kao „otisak prsta”, koji u nekim slučajevima može identifikovati autore malvera i njihove projekte. U uzorku koji je analizirala kompanija Kaspersky Lab, ovaj „otisak prsta” se stopostotno poklopio sa već poznatim komponentama Lazarusovog malvera a nije imao nikakve sličnosti ni sa jednim malicioznim ili bilo kakvim drugim fajlom do sada poznatim kompaniji Kaspersky Lab. Kombinacija sličnosti u taktikama, tehnikama i procedurama (TTP), navela je istraživače na početni zaključak da je malver „Olympic Destroyer” još jedna operacija grupe Lazarus. Međutim, mnoga nepoklapanja sa dosadašnjim taktikama, tehnikama i procedurama grupe Lazarus, koja su otkrivena tokom istrage koju je sprovela kompanija Kaspersky Lab u Južnoj Koreji, navela je istraživače da preispitaju ovu neuobičajenu pojavu.
Nakon detaljnog pregleda dokaza i osobina, istraživači su otkrili da se one ne poklapaju sa osobinama koda, već su lažirane kako bi navele na grupu Lazarus.
Kao rezultat ovoga, istraživači su zaključili da je ovaj „otisak” zapravo veoma složena operacija false flag, namerno ubačeno u malver, kako bi istraživači skrenuli sa pravog traga i bili navedeni na pomisao da imaju ključni dokaz.
„Koliko nam je poznato, dokazi koje smo pronašli nisu ranije korišćeni kako bi se na nekoga bacila lažna sumnja. Ipak, napadači su odlučili da ga iskoriste, predviđajući da će neko to uočiti. Računali su na činjenicu da je krivotvorenje ove vrste veoma teško dokazati: kao da je kriminalac ukrao tuđi DNK i ostavio ga na mestu zločina umesto svog. Mi smo otkrili i dokazali da je DNK koji je pronađen na mestu zločina, namerno tamo postavljen. Sve ovo pokazuje koliko su truda napadači bili spremni da ulože kako bi ostali neidentifikovani što je duže moguće. Mi smo oduvek naglašavali da je dokazivanje krivice u sajber prostoru izuzetno teško jer se mnogo stvari može lažirati, što crv „Olympic Destroyer,“ i dokazuje, rekao je Vitalij Kamluk (Vitaly Kamluk), direktor azijskog tima za globalna istraživanja i analizu u kompaniji „Kaspersky Lab“ .
„Još jedna bitna lekcija iz ove priče koju treba naučimo, jeste da pronalaženje krivca treba shvatiti veoma ozbiljno. Imajući u vidu meru u kojoj je sajber prostor politizovan u poslednje vreme, pogrešno optuživanje bi moglo imati ozbiljne posledice, a uključeni mogu početi da manipulišu mišljenjem bezbednosne zajednice kako bi uticali na geopolitičke prilike, “ dodao je.
Ostaje otvoreno pitanje pravog krivca za crv „Olympic Destroyer“, iz prostog razloga što ceo slučaj predstavlja jedinstven slučaj smeštanja parčeta lažnog koda u malver. Ipak, istraživači kompanije Kaspersky Lab su otkrili da su napadači koristili servis za skrivanje identiteta NordVPN, kao i hosting provajdera zvanog MonoVM, pri čemu oba servisa prihvataju bitkoine. Ove i druge taktike, tehnike i procedure (TTP) prethodno je utvrđeno da ih koristi „Sofacy“ – napadač sa ruskog govornog područja.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver „Olympic Destroyer“.