平昌冬奥会,于2018年在韩国举行,在举办前夕,12月6日消息,国际奥委会禁止俄罗斯以国家名义参加平昌冬奥会,而举行期间丑闻不断。
2018年2月24日,据美国情报,俄罗斯军事间谍对2018年韩国冬季奥运会管理人员使用的数百台电脑实施了黑客行动。
2018年2月26日,平昌的官员们承认,2018年2月9日举行的冬奥会开幕式遭到了网络袭击,但他们拒绝证实袭击是由俄罗斯人发动的。开幕式晚上,互联网、广播系统和奥运会网站都出现了问题。许多观众无法打印他们的入场券,导致座位空置。
而近日,媒体Wired发布了一篇报道,作者为Andy Greenberg,下面这个故事节选自其新书《Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers》,而Sandworm组织在此前我们的关于乌克兰电网分析报告中有详细介绍。
该书将于2019年11月5日出版。
在2018年2月9日晚上8点左右,在韩国东北山区的高处,化名为A的平昌奥运会组委会技术总监坐在塑料椅上,他负责监督奥运会的IT基础架构的设置,该基础架构包括两个汉城数据中心中的一万多台PC、两千多种移动设备、六千三百个Wi-Fi路由器和三百台服务器。
此时,A距平昌奥林匹克体育场仅几十米,而2018年冬季奥运会开幕式即将开始。
当现场周围的灯光变暗时,现场35000人手机屏幕的光芒像萤火虫般在体育场周围萦绕,大量的机器似乎运转良好。
然而,在半个小时前,A得到了一个棘手的技术问题的消息,反馈的问题根源是一家IT承包商,奥运会从这家IT公司租用了另外一百台服务器。但是,韩国首尔的数据中心没有报告任何相关问题,因此他们认为承包商的问题是可以解决的。然而,此时的A,并不知道很多观众已经无法通过打印门票进入会场。
晚上8点前十秒,当奥运会开始倒计时期间,A的三星手机忽然亮起并在KakaoTalk接到下属的一个消息:某个东西正在关闭汉城数据中心的每一个域控制服务器,而这些服务器构成了奥运会IT基础架构的骨干网络。
当A得知此消息,并急冲冲从出口处的新闻发布区出来时,他周围的记者已经开始抱怨Wi-Fi似乎突然停止工作。成千上万的联网电视本应该进行转播,但是屏幕都变黑了。此外通往每座奥运大楼的所有基于RFID的安全门都已关闭。奥运会的官方应用程序(包括其数字票务功能)也已无法启动,因为试图请求的后端服务器并没有回传数据给它。
要知道,平昌组委会为此做足准备,自2015年以来,其网络安全咨询小组已举行了20次会议,进行网络攻击演习,甚至包括火灾和地震等灾难。然而,事情还是发生了。而他们的补救措施只能是向记者分发Wi-Fi热点,并让工作人员手动检查凭证。
随后,A在晚上9点到达了江陵市的技术运营中心开始抢救,由于故障问题,他们无法访问许多基本服务,诸如邮件服务。排查发现,数据中心中有9域服控制服务器均出现不同程度的故障。
遇到这种情况,现场工作人员决定采用一种临时的解决方法:他们将所有仍在运行的服务器单独进行操作,将这些可用的服务器为Wi-Fi和互联网电视提供一些基本服务支持,从而先使服务可以上线,并拖延时间以设法在开幕式结束前几分钟将这些可以提供基本服务的系统恢复上线,防止来访的贵宾和观众在结束后发现他们没有Wi-Fi连接,也无法访问Olympics应用程序。
在接下来的两个小时中,当他们尝试重新启动域控制服务器以重新恢复此前的稳定网络时,工程师们一次又一次地发现服务器已经瘫痪,可以充分说明,他们系统中仍然存在一些恶意的存在,其破坏机器的速度超过了重建机器的速度。
凌晨前几分钟,技术团队无奈地决定采取一种绝望的措施:他们将整个网络从Internet上断开,从而试图将其与破坏者隔离开,他们认为破坏者仍然在内部活跃。这意味着必须关闭所有服务,甚至包括奥林匹克运动会的公共网站,同时他们要根除任何恶意软件感染。
这个也就导致后来,pyeongchang2018.com在一段时间内打不开并被安全社区发现并在外网广泛流传被入侵的原因。
这样的操作进行了第二天凌晨5点,韩国安全公司AhnLab设法创建了一个防病毒签名,可以帮助机器进行杀毒操作,以抵抗感染了它们的神秘恶意软件。
凌晨6:30,奥运会的管理员重置了工作人员的密码,从而阻止黑客可能通过凭证进行攻击的行为,后续的代码分析证明他们做对了。
当天上午8点左右,也就是奥运会网络攻击开始后几乎正好12个小时,技术人员完成了从备份中重建服务器的工作,并开始重新启动所有服务。奥运会也成功举行,然而很多人都不知道,在奥运会开幕式的晚上,有一批人与一个看不见的敌人进行了战斗。
那么这个神秘的恶意软件到底是什么来头,根据国外安全厂商的报告,红雨滴团队对其中一个关键样本进行了分析。在此之前,先介绍一个概念:假旗行动,英文名为False flag,是隐蔽行动的一种,指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动。假旗行动在谍报活动中非常常见,此外民间的政治选举也常有采用此法。
而这类行为,放在网络安全界也相当常见,诸如使用其他攻击者常用的网络武器作为自己的武器进行攻击,从而将活动嫁祸于他人。
在本起攻击活动中,提到的假旗体现在网军的网络武器中,以下统称特种木马,缩写特马。其主要往特马本身嵌入了多段其他网军常用的二进制代码特征。
针对奥运会攻击的初始样本OlympicDestroyer是一种网络蠕虫,它收集带有主机名的用户凭据,并将新数据附加到现有数据的末尾,从而进一步渗透。
而攻击样本有几点特征,如将管道命名为123,用作与释放的下面提到的两个窃密文件进行管道通信。
一、释放PsExec远程控制工具用于横向移动
二、释放并运行C:\Users\user\AppData\Local\Temp\_ywl.exe,该PE定性为系统销毁器,名称随机。
而_ywl会分别通过cmd执行命令:
调用wbadmin.exe删除系统上所有快照。
调用bcdedit.exe禁止系统自动修复
调用Wevtutil.exe清除系统日志
此外,其还会禁用系统上所有服务,并通过服务启动类型ChangeServiceConfig函数修改参数为4,即禁用服务启动。
之后,销毁器还会试图连接文件共享目录,并通过创建文件的形式复写目录中的文件,达到擦除的效果。
在执行完上述操作并休眠一小时后,销毁器关闭了系统,可想而知,当受害者试图打开电脑恢复系统,会发生什么事情。
经红雨滴团队测试后发现,在开启系统后会造成频繁重启且蓝屏的情况,无法进入系统,且安全模式也无法进入,若要进入需要执行恢复系统操作。
从此处便可以看出,攻击者一开始打算便不是出于窃密为目的,而单纯是破坏性行动,从而试图干扰奥运会的举行。从手法上来看,与 NotPetya和BadRabbit勒索软件相似。
而更有趣的是,攻击者采取了一种新颖的攻击手法,其在样本中内嵌了用户凭证,从而利用并进行横向移动。
其中pyeongchang2018.com为奥运会官方网址,而攻击者通过域凭证的方式进行横向移动,从而可以确保攻击的均为奥运会工作人员,此外,其通过获取凭证模块进行凭证窃取后,会更新到新的二进制文件中,从而再次进行横向移动的方式进行释放,可以使得权限最大化的利用,类似蠕虫一样的机制。
根据统计,该组织大概获取了44个工作人员的凭证。
并且从细节上来看,平昌奥运会系统的内网IP疑似也被掌握。
后续通过下面的远程命令,利用PsExec和WMI进行程序传播。
流程图
网络武器功能大致如上,而代码中实际上在各个环节都存在一些关联到其他攻击活动或者攻击组织的代码。
一、OlympicDestroyer和NotPetya勒索的事件日志清理和禁用系统恢复代码相似。
此外,样本使用EternalRomance的利用代码但是并没有调用,而这也成功欺骗了微软
二、Intezer称与APT3,APT10的样本代码存在相似性。
三、与朝鲜APT组织Lazarus旗下的BlueNoroff相关。
上面分析提到的evtchk.txt文件名与BlueNoroff /使用的文件名(evtdiag.exe,evtsys.exe和evtchk.bat)非常相似,曾经在2016年孟加拉国SWIFT网络抢劫案中使用。并且使用了类似的擦除器代码。
此外,卡巴斯基的研究人员称朝鲜Lazarus与OlympicDestroyer之间也有很高的相似度。例如,使用相同的技术来解密Payload。Lazarus在其恶意软件加载程序中使用了此功能以保护其后门模块免受逆向分析的影响,因为它们包含一些默认的C2信息。
尽管该方法很相似,但是用法上还是有很大差异的:
Lazarus使用了长字母数字密码(超过30个字符)。相反,OlympicDestroyer使用了一个非常简单的密码:123。
Lazarus从未将受保护的有效负载的密码硬编码到恶意软件主体中,但是OlympicDestroyer由于需要自我传播,因此需要硬编码操作。
此外,还有一个地方,OlympicDestroyer的PE头中包含以前Bluenoroff样本中出现的“ Rich”标记。
按理说,朝鲜与韩国之间的网络攻击活动非常频繁,朝鲜以干扰平昌奥运会为目的发起攻击也许很正常。但是当时金正恩的妹妹也受邀参加了奥运会,这也导致攻击的可能性降低。
此后卡巴斯基在研究分析发现,在同样的环境编译代码,出现的Rich标志头的位置均不一致。并且在之后的分析发现,有一个攻击样本于2018-02-09 13:46:23从法国上传到VT。这是针对平昌奥运会攻击活动一个版本的样本,但是一些疏忽暴露了他们是伪造的事实。
1、该攻击样本将关机前的睡眠时间关闭了,也就是上面分析中提到的休眠一小时后关机。
2、编译时间戳为2018-02-09 10:42:19
3、Rich标记头位置是符合标准规定的。
以上几个操作都证明了,当时的攻击者可能比较着急发起攻击,因此希望样本启动后就能直接使目标系统关机,因此关闭了休眠操作。毕竟当天晚上8点奥运会就会开幕,所以在匆忙编译后,忘记了伪造Rich标记便实施了投放。
因此,这也就证实了,OlympicDestroyer幕后攻击者,试图通过假旗行动,从而掩饰归因,并试图嫁祸于朝鲜。
在事件爆发后,为了彻底调查归因,FireEye公司的Matonis开始进行溯源分析,与其他安全厂商做法不一样的是,他并没有立马从恶意软件出发,相反,他采用了从Olympic Destroyer曾经所投放的钓鱼文档分析出发,而这系列钓鱼攻击释放的均为Powershell和hta类的木马,并不是之前用来进行破坏性的恶意软件。
发现所有文档均由名为“ A V”,“ BD”或“ john”的人编写构造,而且恶意软件回连的服务器IP地址也存在重叠,继续关联发现有两个在2017年针对乌克兰的攻击文档,这也就意味着攻击者有攻击乌克兰的意图,而这背后虽然指向俄罗斯,但是并没有更明显的证据。
经过深入分析,Matonis发现该组织使用的域名所解析的IP中,被解析到一个域名account-loginserv.com。
而该域名,Matonis称此前在FBI的快讯中,声称俄罗斯GRU在2016年针对美国的大选中,曾经使用该域名进行攻击。
基于此,其认为,当年攻击奥运会的幕后网军真相大白。
在Matonis分析过程中,美国国家安全局(NSA)和中央情报局(CIA)的两名不愿透露姓名的情报官员告诉《华 盛 顿 邮 报》,奥运会是由俄罗斯进行的网络攻击,它试图对朝鲜进行陷害。并将这次袭击专门归咎于俄罗斯军事情报机构GRU,该机构策划了对2016年美国大选的干预和对乌克兰的停电袭击,并发动了NotPetya的破坏。
而Matonis的分析,再结合美国方面的透露,也许对于针对奥运会发起攻击的幕后黑手轮廓,画像更加准确一些。
格勒乌(GRU)创建于公元1918年10月21日,是俄罗斯联邦最大也是最为秘密的情报机构,中文全称为俄罗斯联邦军队总参谋部情报总局。
2018年7月13日, Robert Mueller对12名GRU黑客参与选举干预提出了起诉书,认为他们入侵了DNC和克林顿竞选活动的证据。
在长达29页的起诉书中,有一名GRU黑客Anatoliy Sergeyevich Kovalev被任命为GRU单位74455的成员,该单位位于莫斯科北部郊区希姆基的一幢20层高的建筑。
起诉书指出,74455部队已经为GRU入侵DNC和克林顿战役提供了后端服务器。但更令人惊讶的是,起诉书还说该组织“协助”了这次行动,以泄露在这些行动中被盗的电子邮件。指控称,第74455部队帮助建立了DCLeaks.com甚至Guccifer 2.0,后者是伪造的罗马尼亚黑客角色,声称受到入侵并向民主党提供了被盗的电子邮件给WikiLeaks。
在攻击事件发生半年后,发现该组织仍然在活动,目标为俄罗斯的金融组织以及欧洲和乌克兰的生物和化学威胁预防实验室。此时卡巴斯基已经将该组织命名为Hades。
此外,还有Checkpoint在2018年11月15日曝光的新活动。
可见,在后续的攻击活动中,针对的目标大部分为俄罗斯利益相关目标。
如此前奇安信威胁情报中心编写的乌克兰停电事件报告(mp.weixin链接)一样,此次疑似来自俄罗斯的报复性攻击,仍然为破坏性行动,而每当发起破坏性行动前,总会有国家间的冲突所导致。因此,对于国际时事的把控,也将导致攻击的预判,从而可提前进行攻击预警。
而攻击者在进行网络攻击时候,考虑的仍然是如何使得目标计算机不可用,不同于此前想直接把乌克兰电厂给毁掉的攻击,本次其采取的为如何使得系统更晚恢复,从而可以影响奥运会的举办,因此该网军创造性的使用了蠕虫传播的手法,自动进行横向移动和扩散,并将获取的凭证附着于新的代码后侧,并继续进行传播的手法。
可见,实际上他们已经达成了目的,成功影响了开幕式当晚的正常运作。
综合近期红雨滴团队编写的网络打击类报告,可以看出破坏性行动可能成为激烈对抗的网络主体之间的主要选项,无论是本次分析涉及的奥运会,或是此前的Wannacry勒索破坏攻击,均为一个国家试图干扰另一个国家的秩序所发起。
因此,任何重大的活动,重大的基础设施,都要备好PlanB,这其中也包括备用的网络设施,备用的设施恢复方案等,在这个时代,做好灾备恢复,才是重中之重。而韩国在这次奥运会的应急手段,实际上已经做到一定程度的完美,但重点在于,他们在此之前已经进行了现场攻防演习,但仍然会被入侵,说明了演习在一定程度上,还需要力度加强,才能防止被更强的敌人钻了空子。
毕竟,攻防不对等,你无法预估攻击者的到来,那么我们只能进行系统化的防御方案,奇安信威胁情报中心也将携手推进防御体系建设方案,以此案分析,为网安事业贡献微薄之力。
[1]https://securelist.com/olympic-destroyer-is-still-alive/86169/
[2]https://www.wired.com/story/untold-story-2018-olympics-destroyer-cyberattack/
[3]https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
[4]https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
[5]https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
[6]http://www.intezer.com/2018-winter-cyber-olympics-code-similarities-cyber-attacks-pyeongchang/
[7]https://securelist.com/the-devils-in-the-rich-header/84348/
[8]https://home.treasury.gov/news/press-releases/sm577
[9]https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/
*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM