'Op Winterspelen gerichte malware had oogmerk van verstoring'

Onderzoekers van Cisco's beveiligingsonderdeel Talos hebben naar eigen zeggen de malware gevonden die gebruikt werd bij een internetaanval op de organisatie van de Winterspelen. Die zou alleen gericht zijn op verstoring.

Het bedrijf schrijft dat het 'met gematigde zekerheid' kan zeggen dat het daadwerkelijk om de malware gaat die bij de opening van de Winterspelen werd ingezet. Hoewel de manier van verspreiding van de malware onduidelijk is, past deze dezelfde methodes toe om zich via het netwerk te verspreiden als de NotPetya- en BadRabbit-malware. Talos komt tot de conclusie dat de aanvaller kennis moet hebben gehad van de infrastructuur van zijn doelwit, omdat de malware naast zogenaamde stealers gebruikmaakt van 44 voorgeprogrammeerde accounts om zich verder over het netwerk te verspreiden na infectie.

De destructieve kant van de malware, die door Talos de naam Olympic Destroyer heeft gekregen, verwijdert in eerste instantie alle op het geïnfecteerde systeem aanwezige schaduwkopieën, waarin snapshots voor back-updoeleinden zijn vastgelegd. Dit moet herstel bemoeilijken, aldus Talos. Vervolgens zorgt de malware ervoor dat Windows geen reparatiepoging uitvoert bij het opstarten. Ten slotte schakelt de kwaadaardige software alle diensten op het systeem uit en wordt het systeem uitgezet.

In het weekend maakte de organisatie van de Olympische Winterspelen in Zuid-Korea bekend getroffen te zijn door een internetaanval. Daardoor was de website niet bereikbaar en konden bezoekers onder meer geen toegangskaartjes printen. De uit de aanval voortkomende problemen duurden ongeveer twaalf uur.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 12-02-2018 16:12 16

12-02-2018 • 16:12

16

Lees meer

Zes Russen aangeklaagd vanwege grootschalige hacks en NotPetya-aanvallen
Zes Russen aangeklaagd vanwege grootschalige hacks en NotPetya-aanvallen Nieuws van 20 oktober 2020
'Staatshackers vielen Duitse publieke omroepen aan en stalen mogelijk gegevens'
'Staatshackers vielen Duitse publieke omroepen aan en stalen mogelijk gegevens' Nieuws van 27 juli 2018
Cisco treft malware aan op routers van onbekend aantal Nederlanders
Cisco treft malware aan op routers van onbekend aantal Nederlanders Nieuws van 23 mei 2018
Organisatie Winterspelen kreeg internetaanval te verduren bij openingsceremonie
Organisatie Winterspelen kreeg internetaanval te verduren bij openingsceremonie Nieuws van 11 februari 2018
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (16)

-Moderatie-faq
16
12
3
1
0
0
Wijzig sortering
Verwijderd 12 februari 2018 16:51
Dit is iets meer dan alleen een ddos. Er zal toch wel een uitwijkcentrum zijn die overneemt in het geval van een grote calamiteit? En backups op een off-site locatie? Is wat ouderwets misschien, maar kan uitkomst bieden in dit geval.
GamerPaps87 @Verwijderd12 februari 2018 17:27
Waar wordt er gezegd dat dit überhaupt een ddos attack was? Ik zou aanraden @Verwijderd dat je het originele artikel eens leest dat als eerste gelinkt wordt in het Tweakers artikel.

Vind de berichtgeving van Tweakers hierover nogal zachtjes uitgedrukt, Het originele artikel is vrij duidellijk:
"Wiping all available methods of recovery shows this attacker had no intention of leaving the machine useable. The sole purpose of this malware is to perform destruction of the host and leave the computer system offline."

En:
"During destructive attacks like this there often has to be a thought given to the nature of the attack. Disruption is the clear objective in this type of attack and it leaves us confident in thinking that the actors behind this were after embarrassment of the Olympic committee during the opening ceremony."

Het blijkt ook dat er duidelijk sprake van is dat vanwege de detailed kennis van de OS2018 IT Infrastruktuur dat het deels een inside job was:
"The other factor to consider here is that by using the hard coded credentials within this malware it's also possible the Olympic infrastructure was already compromised previously to allow the exfiltration of these credentials.

The malware delivery mechanism is currently unknown which means the infection vector could be a multitude of options, but, if the attacker already had access to the environment, this attack could have been carried out remotely. This would allow the actors to specifically pinpoint the moment of the opening ceremony and would allow them to control their time of impact."

Het artikel wijdt er niet over uit of ze al weten wie of wat hierachter zit maar ik benieuwt of ze het weten / te weten komen en publiceren.
Verwijderd @GamerPaps8712 februari 2018 17:53
Het was een verwijzing naar de ddos aanvallen op onze banken in januari. En dat staat inderdaad niet in het artikel. Daarnaast beweer ik niet dat er sprake van een ddos aanval was, maar dat het juist meer is dan een ddos aanval.

Een ddos kan door een eenvoudige actie opgezet worden. Deze actie op de olympische spelen vergt goede voorbereiding.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:22]

Verwijderd 12 februari 2018 16:49
Soort van interne job dus ? Beetje screenen lijkt me niet al te moeilijk.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:22]

FreshMaker @Verwijderd12 februari 2018 17:15
Soort van interne job dus ? Beetje screenen lijkt me niet al te moeilijk.
Het probleem IS juist dat 'beetje' screenen ...
jpsch @Verwijderd12 februari 2018 17:32
Nee, Apple doet dat dagelijks.

nieuws: 'Stagiair bij Apple was verantwoordelijk voor lekken iBoot-broncode'
sidefx 12 februari 2018 16:32
Waarom zat de Olympische organisatie nog niet op de Smart Blockchain vraag ik me af?
Blokker_1999
@sidefx12 februari 2018 16:36
En wat lossen we daarmee op? Als de infra down is kan men ook niet zomaar verifieren of je ticket wel geldig is, blockchain of niet. Systemen moeten hersteld worden.
lethalnl @Blokker_199912 februari 2018 16:39
het mist een /s'je maar volgens mij heb jij wat gemist :P
MrMonkE @lethalnl12 februari 2018 17:08
Wat betekent: "het mist een /s'je maar volgens mij heb jij wat gemist"
FreshMaker @MrMonkE12 februari 2018 17:15
Dat sommige mensen oude grappen uit de sloot blijven halen
het /s verwijst naar sarcasme ....

Zoek de oude koeien maar op in Samsung topics icm batterijen, of iPhones met slechte ontvangst
Die beesten zijn verdronken, maar men wil er tegenaan blijven trappen helaas
MrMonkE @FreshMaker12 februari 2018 21:01
Oh, ok ik dacht dat het een of andere mislukte smiley was :)
Thank you, Fresh.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq