ตามรอยการโจมตีไซเบอร์งานโอลิมปิก PyeongChang 2018

เมื่อวันที่ 9 กุมภาพันธ์ที่ผ่านมาเว็บไซต์ของงานโอลิมปิกที่จัดขึ้น ณ เมือง PyeongChang ประเทศเกาหลีใต้ได้หยุดทำงานลง ผู้ชมไม่สามารถเข้าถึงบัญชีได้ ไม่สามารถดาวน์โหลดตั๋วเข้าชมเกมมาปริ้น รวมถึงสัญญานไวไฟแย่ลงชั่วคราวและระบบโทรทัศน์ด้วยเช่นกัน เป็นเวลากว่า 12 ชั่วโมงกว่าทีมงานด้านความมั่นคงปลอดภัยจะนำระบบกลับมาได้ หลังจากนั้นผู้จัดงานจึงได้ออกมายอมรับว่าเกิดปัญหาขึ้นจริงระหว่างการเปิดงานและส่งผลกระทบกับหลายระบบ

มัลแวร์ตั้งใจทำลายล้างเท่านั้นและไม่มีการขโมยข้อมูลออกไป

Cisco Talos หรือทีมวิจัยด้านภัยคุกคามของ Cisco ได้วิเคราะห์ถึงการโจมตีครั้งนี้พบว่ามัลแวร์ตั้งใจเข้ามาทำลายล้างเท่านั้น ไม่ปรากฏการขโมยข้อมูลออกไปแต่อย่างใด โดยนักวิจัยนาย Warren Mercer และ Paul Rascagneres กล่าวว่า “มัลแวร์ตัวนี้มุ่งทำให้เครื่องใช้งานไม่ได้โดยลบ Shadow copies, Event Logs และใช้ PsEXE (คำสั่งที่ช่วย Execute Process บนระบบอื่นโดยไม่ต้องติดตั้งซอฟต์แวร์ Client) และ WMI (การบริหารจัดการข้อมูลและปฏิบัติการของ Windows ซึ่งสามารถเขียน Script เพื่อดึงข้อมูลระบบที่ต้องการมาได้ด้วย) เพื่อหาข้อมูลในสภาพแวดล้อมนั้นต่อไป ซึ่งตรงนี้เองมีความคล้ายคลึงกันกับวิธีของ BadRabbit และ Nyetya”

ขั้นตอนการทำงานของมัลแวร์ ‘Olympic Destroyer’

• แฮ็กเกอร์ปล่อย Olympic Destroyer เข้าไปในระบบ
• Olympic Destroyer ติดตั้ง 2 ไฟล์เพื่อขโมย Credentials ของ Browser และในระบบ
• ขโมย Credentials ใน Browser เช่น Chrome, Firefox และ IE
• ขโมยข้อมูลใน Window LSASS (Local Security Authority Subsubsystem Service)
• Olympic Destroyer ดู ARP Table ของโฮสต์
• Olympic Destroyer ใช้ WMI เพื่อหาโฮสต์อื่นในเครือข่าย
• Olympic Destroyer ใช้ Credentials ที่ขโมยมาได้ฝังไปในไบนารีไฟล์และกระจายไปยังเครื่ออื่น (ใช้เครื่องมือ PsExec ช่วย)
• ใช้ VSSAdmin ลบสำเนา Shadow volumn ทิ้ง (ป้องกันการ Recovery ข้อมูล)
• Olympic Destroyer ใช้ cmd.exe และ WBAdmin.exe ลบ Catalog การสำรองข้อมูลของระบบปฏิบัติการ (ป้องกันการ Recovery ข้อมูล)
• Olympic Destroyer ใช้ cmd.exe และ BCEdit.exe ปิดคอนโซลการ Recovery ข้อมูลในขั้นตอนก่อนโหลด Window ทำให้ไม่สามารถซ่อมตัวเองได้
• Olympic Destroyer ลบ Event Log ของระบบและความมั่นคงปลอดภัยบน Windows เพื่อปิดบังร่องรอย
• ปิดทุก Services บน Windows
• สั่งปิดเครื่องซึ่งจะไม่สามารถกลับมาทำงานได้เพราะ Services ถูกปิดหมด

แม้ว่ายังคงสรุปไม่ได้ว่าเป็นฝีมือของใครเพราะยังมีความเห็นแตกต่างกันหลายด้านบ้างว่าเป็นของเกาหลีเหนือเพราะเป็นภาวะสงครามอยู่แล้ว มีอีกหลายฝ่ายคาดว่าอาจเป็นรัสเซียเนื่องจากถูกคณะกรรมการโอลิมปิกสั่งแบนนักกีฬาจากรัสเซียไม่ให้เข้าร่วมในหลายรายการถือเป็นการแก้แค้น อีกทั้งมีความคล้ายกับวิธีปฏิบัติการของ Bad Rabbit ที่มีการฝัง Hard-coded Credentials แต่ก็มีผู้เชี่ยวชาญบางคนกล่าวว่าโค้ดของมัลแวร์มีความเชื่อมโยงกับแฮ็กเกอร์ชาวจีนเช่นกัน อย่างไรก็ดีคงต้องรอให้ทีมงานสืบสวนเพื่อหาข้อมูลในเชิงลึกต่อไป

ที่มา : https://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/ และ https://www.scmagazine.com/2018-winter-olympic-games-hit-with-destroyer-malware-during-opening-ceremony/article/743811/ และ https://www.forbes.com/sites/leemathews/2018/02/12/hackers-attacked-the-olympics-during-the-opening-ceremonies/#64912e265a5e