Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

ตามรอยการโจมตีไซเบอร์งานโอลิมปิก PyeongChang 2018

เมื่อวันที่ 9 กุมภาพันธ์ที่ผ่านมาเว็บไซต์ของงานโอลิมปิกที่จัดขึ้น ณ เมือง PyeongChang ประเทศเกาหลีใต้ได้หยุดทำงานลง ผู้ชมไม่สามารถเข้าถึงบัญชีได้ ไม่สามารถดาวน์โหลดตั๋วเข้าชมเกมมาปริ้น รวมถึงสัญญานไวไฟแย่ลงชั่วคราวและระบบโทรทัศน์ด้วยเช่นกัน เป็นเวลากว่า 12 ชั่วโมงกว่าทีมงานด้านความมั่นคงปลอดภัยจะนำระบบกลับมาได้ หลังจากนั้นผู้จัดงานจึงได้ออกมายอมรับว่าเกิดปัญหาขึ้นจริงระหว่างการเปิดงานและส่งผลกระทบกับหลายระบบ

credit : Sportinsights.com

มัลแวร์ตั้งใจทำลายล้างเท่านั้นและไม่มีการขโมยข้อมูลออกไป

Cisco Talos หรือทีมวิจัยด้านภัยคุกคามของ Cisco ได้วิเคราะห์ถึงการโจมตีครั้งนี้พบว่ามัลแวร์ตั้งใจเข้ามาทำลายล้างเท่านั้น ไม่ปรากฏการขโมยข้อมูลออกไปแต่อย่างใด โดยนักวิจัยนาย Warren Mercer และ Paul Rascagneres กล่าวว่า “มัลแวร์ตัวนี้มุ่งทำให้เครื่องใช้งานไม่ได้โดยลบ Shadow copies, Event Logs และใช้ PsEXE (คำสั่งที่ช่วย Execute Process บนระบบอื่นโดยไม่ต้องติดตั้งซอฟต์แวร์ Client) และ WMI (การบริหารจัดการข้อมูลและปฏิบัติการของ Windows ซึ่งสามารถเขียน Script เพื่อดึงข้อมูลระบบที่ต้องการมาได้ด้วย) เพื่อหาข้อมูลในสภาพแวดล้อมนั้นต่อไป ซึ่งตรงนี้เองมีความคล้ายคลึงกันกับวิธีของ BadRabbit และ Nyetya

ขั้นตอนการทำงานของมัลแวร์ ‘Olympic Destroyer’

  • แฮ็กเกอร์ปล่อย Olympic Destroyer เข้าไปในระบบ
  • Olympic Destroyer ติดตั้ง 2 ไฟล์เพื่อขโมย Credentials ของ Browser และในระบบ
  • ขโมย Credentials ใน Browser เช่น Chrome, Firefox และ IE
  • ขโมยข้อมูลใน Window LSASS (Local Security Authority Subsubsystem Service)
  • Olympic Destroyer ดู ARP Table ของโฮสต์
  • Olympic Destroyer ใช้ WMI เพื่อหาโฮสต์อื่นในเครือข่าย
  • Olympic Destroyer ใช้ Credentials ที่ขโมยมาได้ฝังไปในไบนารีไฟล์และกระจายไปยังเครื่ออื่น (ใช้เครื่องมือ PsExec ช่วย)
  • ใช้ VSSAdmin ลบสำเนา Shadow volumn ทิ้ง (ป้องกันการ Recovery ข้อมูล)
  • Olympic Destroyer ใช้ cmd.exe และ WBAdmin.exe ลบ Catalog การสำรองข้อมูลของระบบปฏิบัติการ (ป้องกันการ Recovery ข้อมูล)
  • Olympic Destroyer ใช้ cmd.exe และ BCEdit.exe ปิดคอนโซลการ Recovery ข้อมูลในขั้นตอนก่อนโหลด Window ทำให้ไม่สามารถซ่อมตัวเองได้
  • Olympic Destroyer ลบ Event Log ของระบบและความมั่นคงปลอดภัยบน Windows เพื่อปิดบังร่องรอย
  • ปิดทุก Services บน Windows
  • สั่งปิดเครื่องซึ่งจะไม่สามารถกลับมาทำงานได้เพราะ Services ถูกปิดหมด

แม้ว่ายังคงสรุปไม่ได้ว่าเป็นฝีมือของใครเพราะยังมีความเห็นแตกต่างกันหลายด้านบ้างว่าเป็นของเกาหลีเหนือเพราะเป็นภาวะสงครามอยู่แล้ว มีอีกหลายฝ่ายคาดว่าอาจเป็นรัสเซียเนื่องจากถูกคณะกรรมการโอลิมปิกสั่งแบนนักกีฬาจากรัสเซียไม่ให้เข้าร่วมในหลายรายการถือเป็นการแก้แค้น อีกทั้งมีความคล้ายกับวิธีปฏิบัติการของ Bad Rabbit ที่มีการฝัง Hard-coded Credentials แต่ก็มีผู้เชี่ยวชาญบางคนกล่าวว่าโค้ดของมัลแวร์มีความเชื่อมโยงกับแฮ็กเกอร์ชาวจีนเช่นกัน อย่างไรก็ดีคงต้องรอให้ทีมงานสืบสวนเพื่อหาข้อมูลในเชิงลึกต่อไป

ที่มา : https://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/ และ https://www.scmagazine.com/2018-winter-olympic-games-hit-with-destroyer-malware-during-opening-ceremony/article/743811/ และ https://www.forbes.com/sites/leemathews/2018/02/12/hackers-attacked-the-olympics-during-the-opening-ceremonies/#64912e265a5e



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] สัมผัสประสบการณ์การเล่นเกมสุดสมจริงด้วย Lenovo Legion Slim 7i เกมมิ่งแล็ปท็อป GeForce RTX™ ขนาด 15 นิ้วที่เบาที่สุดในโลก

เลอโนโว ประเทศไทย เอาใจคอเกมที่มองหาความคล่องตัวในการเล่นเกม จัดเปิดตัวเกมมิ่งแล็ปท็อปกราฟิก GeForce RTX ที่เบาที่สุดในโลก1 Lenovo Legion Slim 7i2 หน้าจอ 15 นิ้ว มาพร้อมตัวเลือกโปรเซสเซอร์โมบายล์สูงสุดระดับ …

[Guest Post] หัวเว่ย ส่ง HUAWEI MateBook 14 แล็ปท็อปตัวแรง อเนกประสงค์ต่อยอดประสบการณ์ไร้รอยต่อ พร้อมนวัตกรรมสุดอัจฉริยะ

หัวเว่ย ส่ง HUAWEI MateBook 14 แล็ปท็อปตัวแรง อเนกประสงค์ต่อยอดประสบการณ์ไร้รอยต่อ พร้อมนวัตกรรมสุดอัจฉริยะ พร้อม HUAWEI MatePad T 10 Series แท็บเล็ตสายแฟมิลี่ ภาพและเสียงเสมือนจริง …