Es scheint, dass Olympic Destroyer, ein fortschrittlicher Bedrohungsakteur, der Organisationen, Lieferanten und Partner der Olympischen Winterspiele 2018 in Pyeongchang, Südkorea, mit einer Cybersabotage-Operation auf Basis eines schädlichen Netzwerkwurms getroffen hat, zurückgekehrt ist. Unsere Experten von Kaspersky Lab sind kürzlich auf Spuren von Aktivitäten, die denen von Olympic Destroyer sehr ähnlich sind, gestoßen. Dieses Mal scheinen die Angreifer allerdings Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland anzuvisieren, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.
So geht der Bedrohungsakteur vor
Der ursprüngliche Olympic Destroyer verwendete sehr raffinierte Täuschungsmanöver. Der Bedrohungsakteur machte sich zunächst sehr überzeugende Köder-Dokumente zunutze, die mit versteckter Malware geladen waren, und implementierte daraufhin Verschleierungsmechanismen, um seine Tools vor jeglichen Schutzlösungen zu verstecken. Kurioserweise agierte die Malware unter falscher Flagge, um die Bedrohungsanalyse weiter zu erschweren.
Bei dieser neuen Bedrohungsvariante wird die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die Olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind, verbreitet. Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung allerdings einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Technische Informationen zur Malware und ihrer Infrastruktur sowie Kompromittierungsindikatoren finden Sie in diesem Artikel auf Securelist.
Der APT-Akteur #OlympicDestroyer zielt auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr ab.
Tweet
Neue Absichten
Wirklich neu sind die Ziele, auf die es die Malware abgesehen hat. Unsere Analyse hat gezeigt, dass die Cyberkriminellen dieses Mal versucht haben, in Labore für biologische und chemische Bedrohungen einzudringen. Zu ihren neuen Zielen gehören auch russische Finanzorganisationen – obwohl es sich hierbei erneut um ein Täuschungsmanöver handeln könnte.
Zusätzlich zu verschleierten Skripten enthalten die Dokumente, mit denen Nutzer angelockt werden sollen, Verweise auf die „Spiez Convergence“ (eine in der Schweiz abgehaltene Konferenz für Forscher zu biochemischen Bedrohungen). Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen.
Das bedeutet Olympic Destroyer für Ihr Unternehmen
Wenn wir von Bedrohungen berichten, die sich über Phishing verbreiten, raten wir allen Nutzern für gewöhnlich, beim Öffnen verdächtiger Dokumente vorsichtiger zu sein. Leider ist diese Vorgehensweise in diesem Fall erfolglos – die Dokumente sind keinesfalls verdächtig.
Die für diesen Spear-Phishing-Angriff erstellen Köder-Dokumente sind für die möglichen Opfer tatsächlich relevant. Daher können wir Unternehmen und Organisationen, die sich mit der Prävention und Erforschung biochemischer Bedrohungen befassen, lediglich dazu auffordern, außerplanmäßige Sicherheitsprüfungen durchzuführen. Darüber hinaus sollte eine zuverlässige Schutzlösung installiert sein. Unsere Produkte von Kaspersky Lab entdecken und blockieren die Malware Olympic Destroyer.