روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛مدتها پیش، حین برگزاری بازیهای المپیک، کشورهای شرکتکننده جنگها را متوقف کرده و مناقشات سیاسی را کنار گذاشتند. امروز، برعکس این اتفاق بیشتر محتمل است. المپیک زمستانی پیونگچانگ با یک شایعه (یا رسوایی) شروع شد: هکرهای ناشناس درست قبل از شروع مراسم افتتاحیه به سرور ها حمله کردند و بسیاری از تماشاگران نتوانستند به مراسم برسند چرا که عملا نتوانستند بلیطهایشان را چاپ کنند.
در نتیجه این حمله، بدافزاری که "برهم زننده المپیک" نام گرفت وبسایت رسمی المپیک و وای-فای استادیوم را پایین آورد و بر روی پوشش خبری وقایع نیز تاثیر منفی گذاشت. کمیته سازماندهی اطمینان دادند که هیچ عواقب جدی پس از این وجود نخواهد داشت اما این وضعیت در هم ریخته اصلا شبیه شوخی نبود. بنابراین بسیار جالب است بدانیم که دقیقا چه اتفاقی رخ داد و چه کسانی پشت این ماجرا بودند؟
برهم زننده المپیک چطور کار میکند?
در بحث مکانیزم انتشار، برهم زننده المپیک یک کرم شبکه است. متخصصان ما دریافتند که حداقل 3 لانچ پد که در ابتدا آلوده شدند برای انتشار این کرم استفاده شده است که شامل وبسایت pyeongchang2018.com، محل سرورهای شبکه ski و سرورهای Atos که یک شرکت ارائه خدمات IT است میشدند.
از این پلتفرمها، کرم به طور خودکار از طریق windows network share منتشر شدند. در حالیکه گذرواژههای ذخیره شده بر روی کامپیوترهای آلوده را میدزدیدند آنها را درون خود مینوشتند و برای انتشارات بعدی استفاده میکردند. هدف نهایی برهم زننده المپیک پاکسازی فایلها از شبکهای که به آن دسترسی پیدا کرده و خاموش کردن سیستم آلوده شده بود.
چه کسانی این مهمانی را خراب کردند؟
ژورنالیستها و بلاگرها به سرعت شایعات مربوط به عامل به هم ریختن مراسم افتتاحیه المپیک و دلایل آن را پخش کردند. انگشت اتهام حتی قبل از اینکه بازیها آغاز شود به سمت کره شمالی بود. جاسوسی از کامپیوترهای کمیته سازماندهی نیز به کره شمالی منتسب شد.
پس از آن، طبیعتا تردیدها به سمت روسیه رفت. پس از آن تنها افراد منتخبی از تیم روسیه مجاز به ادامه رقابت شدند و تحت شدیدترین محدودیتها پرچم ملی آنها نیز ممنوع شد. اما وقتی کارآگاهان مشابهتهایی بین برهم زننده المپیک و بدافزار ساخته شده توسط مجرمان سایبری چینی یافتند شکها به سمت چین تغییر یافت.
آغاز به تحقیقات توسط آزمایشگاه کسپرسکی
در حالیکه عموم مردم سرگرم سود و زیان خود بودند، متخصصان امنیت سایبری به تلاش برای یافتن شواهد ادامه دادند. لابراتوار کسپرسکی هم تحقیقات خود را آغاز کرد.
در ابتدا، مثل خیلی از سایرین، متخصصان ما نیز به مجرمان سایبری کره شمالی مظنون شدند، و به طور ویژه، گروه Lazarus. پس از مطالعه نمونهای از برهم زننده المپیک، محققان مجموعهای اثرانگشت دیجیتال پیدا کردند که دقیقا به Lazarus به عنوان نویسنده اشاره میکرد.
به هر حال، هر چه متخصصان ما بیشتر پیش رفتند، ناهمخوانیهای بیشتری پیدا کردند. پس از یک ارزیابی کامل مجدد از تمام نشانهها و مطالعه جزئی کدها، متوجه شدند که آن مدارک قطعی در واقع یک فریب ماهرانه بوده و هدف آن آدرسدهی غلط بوده است.
وقتی متخصصان ما در حال مطالعه برهم زننده المپیک بودند، مدارک و شواهدی دال بر یک برنامهنویس کاملا متفاوت یافتند. گروه هکر روسی Sofacy (با نامهای دیگر APT28 و Fancy Bear).
اگر چه که نمیتوان احتمال غلط بودن این شواهد و مدارک را نیز رد کرد. وقتی بحث جاسوسی سایبری رده بالا مطرح است، هیچوقت نمیتوان به چیزی صد در صد مطمئن بود.
منبع: کسپرسکی آنلاین(ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.