Detaljer i obskur header skaber mystik om afsender af OL-malware

Vitaly Kamluk fra Kaspersky Lab fortalte under et indlæg på Security Analyst Summit om Olympic Destroyer og mærkværkdigheder i koden. Illustration: Jakob Møllerhøj
Malware rettet mod Vinter-OL er konstrueret langt ned i koden, så bestemt hackergruppe skal se ud til at stå bag, mener russisk anti-virus virksomhed.

Cancun, Mexico. Nogen har gjort sig umage for at få det til at se ud som om, en bestemt hackergruppe stod bag malware-angrebet, som påvirkede afviklingen af Vinter-OL i Sydkorea i februar.

Det fortalte Director for Global Research & Analysis Team ved Kaspersky Lab, Vitaly Kamluk, under et indlæg på it-sikkerhedskonferencen Security Analyst Summit (SAS), der løber af stablen i Cancun i Mexico i disse dage.

Kaspersky Lab er hovedarrangør af SAS, der også har indlæg fra andre aktører som Microsoft, Avast og de hollandske politimyndigheder.

Malwaren, som ramte vinterlegene, har fået navnet Olympic Destroyer, og blandt andet Reuters har rapporteret på baggrund af informationer fra forskellige sikkerhedsvirksomheder, hvordan den gik målrettet efter vinterlegene.

Olympic Destroyer slettede blandt andet filer, lukkede ned for wifi og bevirkede, at de besøgende til legene fik problemer med at printe billetter.

Siden har flere spekuleret i, hvem der kunne stå bag malwaren, og både Rusland og Nordkorea har været nævnt i den forbindelse.

Det kan dog være svært at vide med sikkerhed, hvem der står bag cyberangreb generelt set, da digitale spor kan forfalskes.

Lazarus

Det så dog umiddelbart ikke ud til at være tilfældet med Olympic Destroyer, som på overfladen har haft flere lighedstegn med angrebs-software brugt af hackergruppen Lazarus. Denne gruppe har flere peget på styret i Nordkorea står bag.

Gruppen er blandt andet blevet nævnt som værende bag et spektakulært cyberbankkup i Bangladesh og et cyberangreb mod Sony Pictures.

Kaspersky Lab fortæller i en længere teknisk gennemgang her om flere lighedspunkter mellem Lazarus-malware og Olympic Destroyer.

Eksempelvis anvendes samme teknik i Olympic Destroyer til dekryptering af en payload i hukommelsen, som også Lazarus har benyttet.

Rich header

Derudover har Olympic Destroyer en funktion til at slette filer med, en wiper, som kodemæssigt minder om den wiper, Lazarus har brugt

Og helt nede i det tekniske, så har Kaspersky Lab kørt en in-house kodeanalyse på malwaren og wiper-modulet. Der viser et unikt sammenfald mellem Olympic Destroyer og Lazarus i det, der hedder Rich Header. Det er et område af eksekverbare filer, der indeholder informationer om det miljø, filerne er blevet kompileret i.

Det fremgår ikke at den tekniske beskrivelse, men under indlægget på konferencen kom det frem, at der var noget, der alligevel ikke stemte, når rich headeren blev analyseret nærmere.

Headeren, der bliver automatisk genereret ved kode kompilering, viste sig slet ikke at høre til Olympic Destroyer-koden.

Visual Studio 6 og 10

I et efterfølgende interview med Version2 uddyber Vitaly Kamluk, at det hænger sammen med forskellige udgaver af Microsofts udviklingsmiljø Visual Studio, som malwaren åbenbart er blevet til i.

»Det er meget simpelt. Selve koden, som var i Olympic Destroyer-malwaren, var kode fra Visual Studio 2010, men meta-informationerne om udviklingsmiljøet lægger op til, at de skabte koden på Visual Studio 6,« siger han og tilføjer:

»Så der er noget, der bare ikke stemmer. Koden er fra Visual Studio 10, men den siger: Jeg er fra Visual Studio 6.«

Så nogen har altså ifølge Kaspersky-folkene taget headeren fra Lazarus-malwaren og kunstigt sat den ind som header i Olympic Destroyer-malwaren. Og på den måde kan sikkerhedsfolk og andre måske ende med at koble angrebet mod Vinter OL-kobles til Nordkorea.

Hvis nu de ved, at de ved, at de ved

Nu bliver det lidt speget. For som Kamluk nævner, så kan det jo være, at det faktisk er Lazarus og altså muligvis Nordkorea, der står bag.

Formålet her skulle være, at hvis nu Lazarus gerne ville angribe Vinter-OL, så kunne ovenstående header-transplantation - forudsat den blev opdaget - jo være en måde at få det til at se ud som om, nogle andre faktisk stod bag og prøvede at give Lazarus skylden.

»Enten så fejlede de, og vi fandt forfalskningen, eller også fejlede de ikke, og de forudså, at vi ville finde forfalskningen,« siger Kamluk og tilføjer:

»Det er et svært spørgsmål, det kommer an på, hvor smart ens modstander er.«

En prøveballon

Uanset hvad der er op og ned, så ser Vitaly Kamluk Olympic Destroyer som en prøveballon fra bagmændene.

Han peger på, at hvis en APT-aktør (advanced persistent threat), som ofte menes at være forbundet til nationalstater, skal være rigtig magtfuld, så handler det om at være usynlig.

Altså så nogen eksempelvis ikke råber Nordkorea i forbindelse med et cyberangreb, som landet faktisk måtte stå bag.

Og sådan en usynlighed kan tilstræbes ved at lave skræddersyet malware med forvansket kode, som går under antivirus-radaren, forklarer Kamluk.

»En anden måde er, at få folk til at tro på, at de har fundet noget,« siger han.

»At bedrage folk og få dem til at tro, det er nogle andre.«

Og hvad der præcist virker i sådan en sammenhæng kan være svært at vide på forhånd, mener Kamluk.

»Det er faktisk raketvidenskab, for du kan ikke rigtigt forudse, hvordan folk vil reagere, og om de vil tro, det er pålidelige beviser eller upålidelige. Det er ret svært, det er mennesker, ikke maskiner, som de kan debugge.«

Her kommer prøvebalonen ind i form af Olympic Destroyer. For hvis nu verdenssamfundet og ikke mindst diverse sikkerhedsforskere ender med at konkludere, at eksempelvis en identisk rich header er bevis for, at det er den samme gruppe, der står bag forskellige angreb, ja, så header-transplantationen bruges ved flere lejligheder.

»Hvis alle køber den, så kan de bruge de samme attributter næste gang, og folk vil sige: det minder om Olympic Destroyer, som er 100 pct. bevist kommende fra Nordkorea.«

Ikke så farlig endda

Måden som Olympic Destroyer fungerede - eller ikke fungerede - på, peger også i retning af en prøveballon, mener Vitaly Kamluk.

»Ønskede de at forårsage skade og stor ødelæggelse? Nej, det gjorde de ikke. Faktisk var det hele et stunt,« siger han.

Påstanden underbygger han blandt andet med, at malwaren, som havde orme-funktionalitet, ikke slettede sig selv.

»De havde en viper på ormen, og den wipede ikke sig selv. Den wipede ikke ormen fra disken. De efterlod den i Windows-temp-mappen, hvor den let kunne opdages af hvemsomhelst.«

Og derudover så var filsletningsdelen, altså wiperen, heller ikke særlig effektiv. Den gik ifølge Kamluk ikke efter filer på den inficerede computer, men kun netværks-drev. Og dem var den heller ikke så grundig i forhold til, hvor kun filer mindre end 1 megabyte blev overskrevet med data.

Hvad større filer angår, blev kun en lille del af fil-headeren wipet, fortæller Kamluk

»De ødelagde ikke al data.«

Lazarus-angrebet mod Sony Pictures slettede til gengæld data grundigt, forklarer sikkerhedsmanden.

Men sådan var det ikke med Olympic Destroyer, hvor administratorerne ifølge Kaspersky Lab kunne gendanne systemerne i løbet af 4-5 timer.

»Det var et stunt, de ville ikke ødelægge, men de ville have, det skulle nå nyhederne.«

Og det var ifølge Kamluk derfor, malwaren blev spredt i kerneområder af infrastrukturen. Det vil sige til wifi-systemer, til billetudskrivningssystemer og sågar til systemer, der gav problemer for servere, der styrer adgangen til skilifter.

En ny æra

Kode-fifleriet i Olympic Destroyer får Vitaly Kamluk til at konkludere, at udfordringen med at tilskrive malware til bestemte grupper eller lande er steget til næste niveau.

Og det kan i sidste ende være med til at underminere tilliden til sikkerhedsfolk, hvis kode-krumspringene bevirker, at diverse malwareangreb bliver tilskrevet de forkerte hackergrupper og stater.

»Fejltagelser i attribution (tilskrivning, red.) underminerer tilliden fra den almene befolkning. Folk ender med at holde op med at tro på os, så måske handler det også om at sabotere branchen,« siger Vitaly Kamluk.

Version2 er inviteret til Security Analyst Summit af Kaspersky Lab.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder