تكبير / حامل راية تونغا في شتاء بيونج تشانج 2018 قد لا تكون الألعاب الأولمبية قادرة على طلب قميص من الألعاب الموقع الرسمي في الوقت المناسب ، وذلك بفضل البرامج الضارة ممسحة جلب شبكات الأولمبياد أسفل. رسل / غيتي إيماجز
وأكدت اللجنة المنظمة لدورة الالعاب الاولمبية الشتوية في بيونج تشانج يوم الاحد ان هجوم البرمجيات الخبيثة كان مسؤولا عن الاضطرابات ل شبكة الأولمبياد قبل وأثناء مراسم الافتتاح يوم الجمعة. قبل حفل الافتتاح ، الموقع الرسمي ل توقفت الألعاب الشتوية ، تاركة الحاضرين غير قادرين على الطباعة تذاكر للأحداث أو الحصول على معلومات مكان. الموقع لم يكن استعادة حتى 8:00 صباح السبت. شبكات متعددة انخفضت ، بما في ذلك شبكة Wi-Fi في الملعب والشبكة في مركز الصحافة الأولمبية.
كان السبب هو هجوم برمجيات خبيثة “ممسحة” واضح قد انتشر في جميع أنحاء شبكة Pyeongchang Games الرسمية باستخدام المسروقة شهاداته. لم تتم استعادة الشبكة بالكامل حتى الساعة 8 صباحًا بالتوقيت المحلي الوقت يوم السبت ، بعد 12 ساعة كاملة من بدء الهجوم ، و ذكرت الجارديان.
في بلوق وظيفة اليوم ، والباحثين سيسكو تالوس الاستخبارات وكشف وارن ميرسر وبول Rascagneres أن تالوس قد حدد (“بثقة متوسطة”) بعض البرامج الضارة المستخدمة في الهجوم. لم يتم تحديد كيف كانت البرامج الضارة قدم في الشبكة ، ولكن الثنائيات فحصها تالوس أظهر المهاجم لديه معرفة حميمة من Pyeongchang نظم الشبكة.
“يعرف مؤلف البرامج الضارة الكثير من التفاصيل الفنية الخاصة بـ البنية التحتية للعبة الأولمبية مثل اسم المستخدم ، اسم المجال ، الخادم كتب ميرسر و Rascagneres “اسم وكلمة مرور واضحة” حددت 44 حسابات فردية في الثنائية. “بعض هذه كانت أسماء مستخدمين عامة إلى حد ما ، لكن آخرين كانوا مستخدمين محددين أو وكلاء البرمجيات.
البرامج الضارة “dropper” تستخدم بيانات الاعتماد هذه وتثبيتها على الويب متصفح ونظام التشغيل سرقة البرمجيات الخبيثة الحصاد تسجيلات دخول المستخدمين وكلمات المرور الخاصة بهم للمساعدة في نشر نفسه عبر الشبكة. وأشار الباحثون في Talos إلى أن عناصر البرامج الضارة المستخدمة لجمع بيانات الاعتماد من الأنظمة المستهدفة تستخدم نفس قناة الاتصالات بين العمليات مثل سيئة أرنب cryptoransomware وهجمات ممسحة NotPetya العام الماضي ( تستخدم قناة لتمرير أسماء المستخدمين وكلمات المرور مرة أخرى إلى كود القطارة).
مسح قطارة لأنظمة أخرى لاستهداف من خلال تشغيل أ طلب Windows Management Instrumentation (WMI) سرد كافة أنظمة داخل نفس شجرة الدليل النشط وعن طريق التحقق جدول بروتوكول عناوين بروتوكول TCP / IP لـ Windows مع طلب ويندوز API.
مرة واحدة وقد وجدت قطارة الأهداف ومتصلة بنجاح لهم ، استخدمت البرمجيات الخبيثة أداة PsExec – ويندوز شرعي أداة الإدارة التي قام بتثبيتها القطارة — للتنفيذ عن بُعد البرنامج النصي Visual Basic (VBScript) على الأنظمة المستهدفة التي نسخ نفسها لهم وأطلقت العملية مرة أخرى.
أخفقت البرمجيات الخبيثة المساحات التي ينشرها القطارة ضارتها النشاط من خلال تنفيذ كل ذلك من خلال أمر ويندوز مترجم ، cmd.exe – حذف جميع نسخ “الظل” من الملفات و كتالوجات النسخ الاحتياطي لـ Windows ، مع إيقاف تشغيل وضع الاسترداد في Windows ‘Boot تخزين بيانات التكوين ، ثم إيقاف جميع الخدمات و بمناسبة لهم المعوقين. البرامج الضارة ثم مسح الأمن و سجلات النظام لتغطية مساراتها.
يبدو أن الهجوم قد تم تصميمه خصيصًا ل احرج المنظمين الاولمبيين عن طريق عرقلة افتتاح ال الألعاب ، حيث لم يكن هناك دليل على سرقة البيانات من الشبكة في هذه العملية. طبيعة البرمجيات الخبيثة تشير جيدة جمع الاستخبارات مسبقا ، بما في ذلك يحتمل داخل معرفة نظم اللجنة المنظمة Pyeongchang ، و فريق محترف توفير التنمية باستخدام راسخة التقنيات والأدوات. من الذي يناسب هذا الملف الشخصي بالضبط؟ سوف ترغب في تعطيل دورة الالعاب الاولمبية الشتوية – يتم تركها على أنها فكرة ممارسة للقارئ.
