セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

「Olympic Destroyer」は盗んだ情報で成長する

画像:Talos

平昌オリンピックの開会式で、オリンピック運営を狙ったサイバー攻撃がありました。
この攻撃によって、2018年2月9日19:15頃から翌日昼頃までに次のようなトラブルが発生しました。
・メインプレスセンターのIPTVがフリーズし、映像視聴ができなくなった
・公式ウェブサイトの一部で接続障害が起き、入場チケットが印刷できなくなった
・インターネットやWiFi接続ができなくなった
・ライブ中継用ドローンの飛行を取りやめた

目的は運営妨害

このマルウェアのサンプルを解析していたCisco社は、このマルウェアを「Olympic Destroyer」と名づけました。
主な機能はデータ消去によるシステム破壊で、vssadminやwbadminなどを利用し、シャドウコピーやバックアップカタログ、更に書き込み権のある共有ファイルなども削除した上でシステムをシャットダウンさせるという動きを見せます。
情報流出の動きはなかったことから、情報窃取やスパイ目的ではなく運営を混乱させることが目的だったと見られています。

拡散に用いられた脆弱性

Olympic Destroyerの感染拡大に用いられてた脆弱性はEternalRomanceでした。
EternalRomanceはEternalBlueと共にNSAからリークされた脆弱性で、EternalBlueと同じくWindowsのSMBに関する脆弱性です。
昨年猛威を奮ったNotPetyaBad Rabbitランサムウェアでも使われたものです。

また、帰ってきたランサムウェアPetya

新たな暗号化ランサムウェア「Bad Rabbit」

自己修正による変異

ところが、解析を進めていく内にOlympic Destroyerが当初の想定より複雑な仕組みであることがわかってきました。
Olympic Destroyerには証明書リストとしてドメイン・ユーザーIDが、そしてパスワードと見られる文字列がハードコードされています。
Cisco社のチームは、解析をしている中でこのリスト内容が異なるサンプルを見つけました。
調査の結果、Olympic Destroyerは感染端末でブラウザとシステムのパスワード情報を盗んだ後独自にバイナリを生成。それによってリストを書き加え、それから別端末へ感染拡大することがわかりました。
Olympic Destroyerは自己修正のメカニズムを持ち、感染過程で変異するようになっていたのです。

Cisco社のJaeson Schultz氏は「刈り取った証明書情報で自分を改造するマルウェアは見たことがない」とコメントしています。


オリンピックという一大イベントを狙ったマルウェアは、その『生態』も注目すべきものでした。

参考情報(外部リンク)

Olympic Destroyer Takes Aim At Winter Olympics | Talos
Olympic Destroyer Data-Wiping Malware Is More Complex Than Previously Thought | BleepingComputer

記事一覧に戻る