Olympic Destroyer mette in crisi l’apertura delle Olimpiadi invernali

Feb 13, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1

---

Il virus ha messo K.O. le connessioni a Internet e le trasmissioni video per i giornalisti che seguivano la cerimonia di apertura a PyeongChang.

Difficile fare un reportage in diretta senza una connessione Internet e senza poter vedere le immagini tramite la TV. A rendere la vita dura ai colleghi che stavano seguendo la cerimonia di apertura dei giochi olimpici invernali di PyeongChang, si scopre adesso, è stato un malware particolarmente insidioso.

Il virus, battezzato dai ricercatori con il nome di Olympic Destroyer, avrebbe colpito alcuni servizi (il Wi-Fi e il sistema televisivo) della sala stampa e il sito Internet ufficiale dell’evento, causando non pochi problemi a chi cercava inutilmente di stampare i biglietti acquistati online.

Giornalisti presenti sul posto e spettatori, da quanto si capisce adesso, sono stati vittima di un attacco che aveva il preciso obiettivo di creare il caos nel corso della cerimonia di apertura.

Stando alle analisi effettuate dal team Talos di Cisco, Olympic Destroyer è stato progettato specificatamente per portare a termine un’azione di sabotaggio ai danni dei sistemi dell’organizzazione olimpica. Il virus, infatti, esegue una procedura che sembra ideata per creare il massimo danno in una rete complessa di computer.

Sebbene i ricercatori di Talos non abbiano ancora individuato il vettore di attacco iniziale, hanno ricostruito le azioni compiute da Olympic Destroyer una volta installato sul “paziente zero” all’interno della rete informatica di PyeongChang 2018.

Una volta compromesso il primo computer, Olympic Destroyer avvia due procedure parallele: la prima punta a rubare le credenziali dei browser (Chrome, Firefox ed Explorer) mentre la seconda sfrutta una tecnica simile a quella usata da Mimikatz per appropriarsi delle credenziali di accesso al sistema tramite Windows LSASS (Local Security Authority Subsystem Service). Il malware avvia poi una ricerca per identificare gli altri computer collegati nella rete locale e si diffonde al suo interno.

A questo punto avvia l’operazione di sabotaggio, utilizzando come prima cosa VSSAdmin per cancellare le copie Shadow Volume e impedire agli amministratori di sistema il recupero dei dati. Un’operazione simile prende di mira il sistema di backup del sistema e la console di recupero.

Infine, il virus disabilita tutti i servizi di Windows sul PC, cancella il log di sistema per eliminare le tracce delle sue azioni e forza lo spegnimento del computer. Risultato finale: i PC non possono essere avviati.

La natura esclusivamente “distruttiva” del malware viene confermata dai ricercatori specificando che il virus non contiene alcuno strumento pensato per rubare dati o informazioni dai sistemi colpiti. Il suo obiettivo è esclusivamente quello di mettere K.O. le macchine colpite.

Ora l’attenzione si sposta sull’attribuzione dell’attacco. Scartata l’ipotesi di un’azione portata avanti dalla Corea del Nord, che sta utilizzando queste olimpiadi come un’occasione per gettare ponti diplomatici verso i “cugini” del sud, molti hanno cominciato a puntare il dito (come al solito) contro la Russia.

Il motivo? Una ritorsione per l’esclusione degli atleti russi accusati di doping dal Comitato Olimpico Internazionale. La materia, comunque, rimane oggetto di speculazione per gli appassionati delle teorie del complotto.

Alcuni fanno notare, per esempio, che anche gli Stati Uniti (a cui di certo non mancherebbero i mezzi per portare un attacco simile) avrebbero tutto l’interesse a “disturbare” l’evento. L’esperienza insegna che ci vorrà un po’ di tempo per capirci qualcosa e, molto probabilmente, si rischia di non arrivare mai a una spiegazione convincente.

Per il momento giornalisti e spettatori possono stare tranquilli: i sistemi sono stati ripristinati e tutto sembra funzionare a meraviglia.

---

• Corea, Marco Schiaffino, Olympic Destroyer, PyeongChang, USA, Windows

---

---