圖片來源: 

PyeongChang 2018

平昌冬季奧運上周五開幕前及開幕時發生網路斷線,平昌冬奧執行委員會周日對媒體證實是因為遭到惡意程式攻擊。
 
韓國媒體首先報導,周五平昌冬奧開幕式前,主辦單位發現媒體中心的網路電視故障,於是關閉伺服器以防問題擴大,這也造成冬奧網站當機,並引發預購開幕式門票的觀眾無法列印門票或讀取大會資訊。直到當地時間星期六早上8:00才恢復正常。
 
主辦單位並不願證實他們認為的元兇為誰,表示這類斷線問題在奧運會上經常發生,因此和國際奧會取得共識後他們決定不透露攻擊來源。The Guardian報導可能是俄羅斯,因為2014年冬奧期間俄國選手發生服禁藥醜聞,使俄國奧委會及近200名俄國選手在此次比賽遭到抵制,外界認為俄國可能藉此報復。
 
思科旗下Talos Intelligence安全研究室取得了惡意程式樣本分析後發現,名為Olympic Destroyer的惡意程式是一種dropper。目前它一開始怎麼進入系統的研究人員還不得而知,但初步分析顯示駭客顯然相當了解冬奧的基礎架構像用戶名稱、網域名、伺服器名稱及密碼,然後利用這些資訊在網路中散佈。
 
惡意程式執行後會下載其他惡意程式,如竊取作業系統及瀏覽器用戶帳密的程式以擴大蔓延,並在記憶體中寫入惡意程式,以執行摧毁性的攻擊,包括刪除所有磁碟區陰影複製(shadow copy)及事件記錄檔,刪除系統回復資料的能力、最後關閉系統上所有服務。這些行為意謂著,駭客的目的並不是竊取奧會資訊,而是要干擾賽事。
 
研究人員還發現惡意程式利用合法軟體如PsExec及WMI(Windows Management Instrument)在受害者環境中橫向移動、蔓延,目的是可減少防毒軟體偵測的可能,這種手法和去年的Bad Rabbit及Notpetya等攻擊類似。
 
McAfee年初發現多隻惡意程式利用無檔案攻擊的嵌入程式,企圖取得系統層存取權並竊取資料。其中一隻Golden Dragon程式的最新變種也被發現在開幕式前幾天鎖定平昌冬奧主辦單位,McAfee分析師Ryan Sherstobitoff指出還不確定駭客目的只是搗蛋,還是有更大的動機,可以確定的是它會在整個冬奧期間伺機而動。

 


Advertisement

更多 iThome相關內容