Die Sicherheitsexperten von Kaspersky Lab haben die bei den Olympischen Spielen in Pyeongchang gegen IT-Systeme eingesetzte Malware Olympic Destroyer analysiert. Der Wurm sei von den Hintermännern mit einer besonders raffinierten falschen Flagge (False Flag) ausgestattet worden, lautet eine Erkenntnis.
Olympic Destroyer hatte im Vorfeld der Eröffnungsfeier in Pyeongchang zeitweise IT-Systeme lahmgelegt, es fielen Monitore und WLAN-Angebote aus und auch die Website der Olympischen Spiele, so dass Besucher beispielsweise keine Karten mehr drucken konnten. Zudem seien auch Skipisten in Südkorea betroffen gewesen, wo Zugänge und Skilifteausfielen.
Insgesamt habe sich er Schaden in Grenzen gehalten, berichtet Kaspersky Lab, das besondere an der Malware sei aber ihre Tarnung gewesen. Noch Tage nach seiner Entdeckung seien Analyseteams aus aller Welt gemeinsam an einer möglichen Zuschreibung der Malware gesessen.
Auch die Kaspersky-Experten haben die Malware untersucht und stießen auf einen Hinweis, der auf eine Verbindung zur Lazarus-Gruppe hindeutete. Die Gruppe werde mit Nordkorea in Zusammenhang gebracht, berichtet Kaspersky. „Die Zuordnung beruhte auf einer eindeutigen Spur, welche die Angreifer hinterlassen hatten. Die Kombination bestimmter Features der Entwicklungsumgebung, die sich in den Dateien wiederfinden, kann als eine Art Fingerabdruck angesehen werden, mit dem sich manchmal die Hintermänner der Malware und ihre Projekte identifizieren lassen. Bei dem Sample, das Kaspersky Lab analysiert hatte, zeigte dieser Fingerabdruck eine hundertprozentige Übereinstimmung mit früheren Lazarus-Malware-Komponenten und keinerlei Verbindungen zu anderen, bislang bei Kaspersky Lab bekannten Dateien, egal ob schädlich oder unschädlich“, schreibt Kaspersky zur Analyse.
Allerdings entdeckten die Spezialisten dann Ungereimtheiten, als sie die geschädigten Einrichtungen in Südkorea untersuchten. Bei dieser zweiten Untersuchung mit einer manuellen Verifikation jedes einzelnen Merkmals erkannten die Forscher, dass das Set der Merkmale nicht zum Code passte. Es sei wohl gefälscht worden, um eine perfekte Übereinstimmung mit dem Fingerabdruck von Lazarus zu suggerieren. Die Experten werten den Fingerabdruck der entdeckten Merkmale als einen hochentwickelten False-Flag-Hinweis, der ganz bewusst in die Malware eingebaut wurde. „Nach unseren Informationen wurde der von uns gefundene Hinweis noch nie bei einer Zuschreibung verwendet. Dennoch haben die Angreifer beschlossen, ihn zu nutzen, in der Annahme, jemand würde ihn finden“, erklärt Vitaly Kamluk, Head of APAC Research Team bei Kaspersky Lab. „Sie setzten darauf, dass eine Fälschung des Artefakts nur sehr schwer zu beweisen ist. Das ist so, als hätten Kriminelle die DNA eines Dritten gestohlen und würden diese dann statt ihrer eigenen am Tatort hinterlassen. Wir haben entdeckt und können auch beweisen, dass die am Tatort gefundene DNA absichtlich dort platziert wurde.“
Für Olympic Destroyer stehe die genaue Zuordnung noch aus. Der Angreifer habe aber den Dienst NordVPN und einen Hosting Provider namens MonoVM genutzt, die beide Bitcoins akzeptieren, so Kaspersky. Diese seien bereits von Sofacy genutzt, einem russischsprachigen Akteur. Eine Analyse ist hier zu finden.


