12.03.2018  Новости, Безопасность

«Лаборатория Касперского» выяснила, что за атаками на IT-инфраструктуру Олимпийских игр в Пхёнчхане стояла совсем не та кибергруппировка, на которую указывали все следы. Новый метод атрибуции вредоносного ПО позволил экспертам компании определить, что оставленные злоумышленниками метки были ложными и намеренно сбивали исследователей с верного следа. Червь Olympic Destroyer смог на время парализовать олимпийские IT-системы незадолго до церемонии открытия Игр. Зловред вывел из строя экранные мониторы, Wi-Fi сеть и официальный сайт Олимпиады, из-за чего болельщики не могли распечатать билеты. Кроме того, от Olympic Destroyer пострадало несколько горнолыжных курортов в Южной Корее — из-за кибератак там не работали турникеты и подъёмники. Однако экспертов по кибербезопасности этот зловред заинтересовал, прежде всего, своим происхождением. Спустя несколько дней после обнаружения Olympic Destroyer разные исследователи утверждали, что за ним стоят атакующие из России, Китая или Северной Кореи. Эксперты «Лаборатории Касперского» поначалу склонялись к последнему варианту, поскольку некоторые части кода этого червя на 100% совпадали с компонентами, использовавшимися известной кибергруппировкой Lazarus, имеющей северокорейское происхождение. Кроме того, в атаках Olympic Destroyer применялись те же техники и процессы, которые ранее встречались в операциях Lazarus. Однако при расследовании инцидентов непосредственно на месте в Южной Корее аналитики «Лаборатории Касперского» обнаружили ряд ... читать далее.