奧林匹克偽旗行動(dòng)惡名昭彰的OlympicDestroyer惡意軟件

王蕊

一種最新的歸屬判斷方法幫助卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)一種非常復(fù)雜的偽旗行動(dòng)。

近日，卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)發(fā)表了對(duì)OlympicDestroyer惡意軟件的研究結(jié)果，提供技術(shù)證據(jù)證明惡意軟件制作者在蠕蟲內(nèi)部設(shè)置了一個(gè)非常復(fù)雜的偽旗行動(dòng)，從而迷惑威脅追蹤者，無(wú)法發(fā)現(xiàn)其真正的來源。

OlympicDestroyer蠕蟲在冬季奧利匹克運(yùn)動(dòng)會(huì)期間多次登上新聞?lì)^條。2018年的平昌奧運(yùn)會(huì)遇到了網(wǎng)絡(luò)攻擊，在正式的開幕式之前導(dǎo)致IT系統(tǒng)暫時(shí)癱瘓，并且關(guān)閉了顯示器，切斷了WiFi，導(dǎo)致奧運(yùn)會(huì)網(wǎng)站無(wú)法顯示，使得觀眾無(wú)法通過網(wǎng)站打印門票。卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)韓國(guó)多個(gè)滑雪場(chǎng)設(shè)施遭到這一蠕蟲的攻擊，造成滑雪場(chǎng)的大門和纜車無(wú)法運(yùn)營(yíng)。盡管這次的惡意軟件攻擊造成的影響有限，但很明顯表現(xiàn)出了破壞性，幸運(yùn)的是，這樣的結(jié)果并沒有發(fā)生。

盡管如此，網(wǎng)絡(luò)安全行業(yè)的真正興趣并不在于Destroyer惡意軟件攻擊造成的潛在危害甚至實(shí)際損失，而在于惡意軟件的來源。也許沒有任何一款其他復(fù)雜的惡意軟件能夠像OlympicDestroyer這樣有如此多的歸屬猜想。這款惡意軟件被發(fā)現(xiàn)后幾天內(nèi)，來自全球的研究團(tuán)隊(duì)根據(jù)一些之前不同國(guó)家或?yàn)檫@些國(guó)家政府工作的黑客的網(wǎng)絡(luò)間諜活動(dòng)的特性和破壞者特征，找到了可能的來源。

卡巴斯基實(shí)驗(yàn)室的研究人員也試圖發(fā)現(xiàn)這款惡意軟件背后的黑客組織是誰(shuí)。在某個(gè)研究階段，他們發(fā)現(xiàn)了看上去將這種軟件與一些著名惡意軟件100%聯(lián)系起來的證據(jù)。

這個(gè)結(jié)論是基于攻擊者留下的獨(dú)特痕跡，存儲(chǔ)在文件中代碼開發(fā)環(huán)境的某些特征的組合可以用作“指紋”，在某些情況下可以識(shí)別惡意軟件編寫者及其他項(xiàng)目。卡巴斯基實(shí)驗(yàn)室分析的樣本中，發(fā)現(xiàn)的指紋與之前已知的惡意軟件組件100%匹配，與卡巴斯基實(shí)驗(yàn)室已知的所有干凈文件或惡意文件重疊率為零。結(jié)合其攻擊策略、技巧和流程（TTP），研究人員得出初步結(jié)論，認(rèn)為OlympicDestroyer是某黑客組織發(fā)起的另一次攻擊行動(dòng)。但是，卡巴斯基實(shí)驗(yàn)室在韓國(guó)的被攻擊現(xiàn)場(chǎng)進(jìn)行實(shí)地調(diào)查后發(fā)現(xiàn)，這種惡意軟件與該黑客組織在動(dòng)機(jī)上和其它地方有很多不一致之處，使得研究人員重新審視了這些罕見的證據(jù)。

研究人員仔細(xì)研究了每個(gè)特征的證據(jù)和手動(dòng)驗(yàn)證之后，發(fā)現(xiàn)該特征與代碼不匹配———這種惡意軟件的特征已經(jīng)被偽造成完全符合Lazarus使用的“指紋”。

因此，研究人員得出結(jié)論：特征“指紋”是一個(gè)非常復(fù)雜的偽旗行動(dòng)，故意放置在惡意軟件中，以便給威脅追蹤者造成假象，讓他們誤以為已經(jīng)找到了確實(shí)的證據(jù)，讓他們無(wú)法更準(zhǔn)確地對(duì)這種威脅進(jìn)行歸屬判斷。

“據(jù)我們所知，我們發(fā)現(xiàn)的證據(jù)之前未被用于歸屬判斷。但是攻擊者決定使用它，并預(yù)測(cè)有人會(huì)發(fā)現(xiàn)這些證據(jù)。他們認(rèn)為偽造這種證據(jù)非常難以證明。這就好像是罪犯盜取了他人的DNA，將其留在了犯罪現(xiàn)場(chǎng)，而沒有留下自己的證據(jù)。我們發(fā)現(xiàn)并證明了在犯罪現(xiàn)場(chǎng)發(fā)現(xiàn)的DNA是罪犯故意留下的。所有這些都表明攻擊者為了保持盡可能長(zhǎng)時(shí)間不被發(fā)現(xiàn)，花費(fèi)了很多精力。我們一直認(rèn)為，在網(wǎng)絡(luò)空間進(jìn)行歸屬判斷是非常困難的，因?yàn)橛泻芏鄸|西都可以被偽造，而OlympicDestroyer就是一個(gè)很好的例子。”卡巴斯基實(shí)驗(yàn)室亞太區(qū)研究團(tuán)隊(duì)負(fù)責(zé)人Vitaly Kamluk補(bǔ)充說：“對(duì)我們來說，這個(gè)故事的另一個(gè)要點(diǎn)是對(duì)威脅的歸屬判斷必須非常嚴(yán)肅。考慮到最近網(wǎng)絡(luò)空間的政治化程度，錯(cuò)誤的歸屬判斷可能會(huì)導(dǎo)致嚴(yán)重的后果，威脅攻擊者可能會(huì)試圖操縱安全社區(qū)的意見，從而影響地緣政治議程。”

OlympicDestroyer的準(zhǔn)確歸屬仍然是一個(gè)懸而未決的問題———它很好地示例了復(fù)雜的偽旗行動(dòng)的執(zhí)行。但是，卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)攻擊者使用了隱私保護(hù)服務(wù)NordVPN和名為MonoVM的服務(wù)，而且這兩個(gè)服務(wù)商都接受比特幣，這些證據(jù)以及其他一些已發(fā)現(xiàn)的TTP之前曾被一些黑組織使用過。