Nieuwe attributiemethode helpt Kaspersky Lab zeer geavanceerde valse vlag te identificeren.
Utrecht, 8 maart 2018 – Het Global Research and Analysis Team vanKaspersky Labheeft de resultaten gepubliceerd van onderzoek naar aanvallen door de Olympic Destroyer-malware. Dit onderzoek heeft technisch bewijs opgeleverd van een zeer geavanceerde valse vlag die door de malwareontwikkelaar in de worm is geplaatst. Dit om de aandacht van malwarejagers af te leiden van de werkelijke bron.
De Olympic Destroyer-worm heeft tijdens de Olympische Winterspelen de voorpagina van de krant gehaald. De Olympische Spelen in Pyeongchang hebben te kampen gehad met een cyberaanval die voorafgaand aan de officiële openingsceremonie IT-systemen tijdelijk heeft platgelegd. Deze aanval had uitgeschakelde monitors, geen wifi en een onbereikbare Olympische website, waardoor bezoekers geen tickets konden printen, tot gevolg. Kaspersky Lab heeft ook vastgesteld dat verschillende skiresorts in Zuid-Korea last hadden van de worm, omdat skiliften en liftpoortjes het niet meer deden. De daadwerkelijke impact van de aanvallen was weliswaar beperkt, maar de malware heeft wel laten zien dat hij verwoestend kan zijn.
De interesse vanuit de cybersecurity-industrie gaat echter niet in de eerste plaats uit naar potentiële of werkelijk geleden schade als gevolg van de Destroyer, maar naar de bron van de malware. Misschien is er wel geen enkele geavanceerde malware met zoveel hypotheses over de afkomst als Olympic Destroyer. Een paar dagen na de ontdekking waren onderzoeksteams van over de hele wereld in de veronderstelling dat deze malware aan Rusland, China en Noord-Korea kon worden toegeschreven. Dit op basis van kenmerken die eerder in verband zijn gebracht met cyberspionage- en sabotage-actoren die in deze landen zijn gevestigd of voor de regeringen van deze landen werken.
Onderzoekers van Kaspersky Lab hebben geprobeerd te doorgronden welke hackgroep achter deze malware zou zitten. Op enig moment tijdens het onderzoek zijn ze gestuit op iets wat de malware in verband bracht met Lazarus, een beruchte groep die wordt ondersteund door de staat Noord-Korea.
Deze conclusie is gebaseerd op een uniek spoor dat door de aanvallers is achtergelaten. Een combinatie van bepaalde kenmerken van de code-ontwikkelomgeving, opgeslagen in de bestanden, kan worden gebruikt als 'vingerafdruk' waarmee in sommige gevallen malware-auteurs en hun projecten kunnen worden geïdentificeerd. In het door Kaspersky Lab geanalyseerde monster leverde deze vingerafdruk een overeenkomst van 100 procent op met reeds bekende Lazarus-malwarecomponenten en geen enkele overeenkomst met andere bestanden – schoon of kwaadaardig – die al bij Kaspersky Lab bekend waren. De optelsom van andere overeenkomsten in tactieken, technieken en procedures (TTP's) heeft bij de onderzoekers geleid tot de voorlopige conclusie dat Olympic Destroyer een andere Lazarus-operatie betreft. De motieven en andere inconsistenties met Lazarus-TTP's die tijdens het onderzoek door Kaspersky Lab zijn ontdekt op de gecompromitteerde locatie in Zuid-Korea, hebben er echter voor gezorgd dat de onderzoekers het zeldzame artefact opnieuw onder de loep hebben genomen.
Na nogmaals zorgvuldig het bewijs te hebben bestudeerd en iedere functie handmatig te hebben geverifieerd, hebben de onderzoekers vastgesteld dat de functieset niet overeenkwam met de code: deze was zo gemaakt dat hij perfect aansloot bij de door Lazarus gebruikt vingerafdruk. De onderzoekers hebben hieruit geconcludeerd dat de 'vingerafdruk' van de functies een zeer geavanceerde valse vlag is, die opzettelijk in de malware is geplaatst om malwarejagers te laten denken dat ze de dader op heterdaad hebben betrapt, waardoor ze vervolgens het spoor naar de échte bron bijster waren.
"Voor zover we weten, is het door ons gevonden bewijs niet eerder gebruikt voor de toeschrijving van malware aan een bepaalde bron”, zegt Vitaly Kamluk, hoofd van Kaspersky Lab’s APAC Research Team. “Toch hebben de aanvallers besloten om het te gebruiken, in de veronderstelling dat iemand het zou vinden. Ze rekenden erop dat vervalsing van dit artefact heel moeilijk te bewijzen is. Het is alsof een crimineel het DNA van iemand anders heeft gestolen en op de plaats delict heeft achtergelaten, in plaats van dat van hemzelf. We hebben ontdekt en bewezen dat het DNA op de plaats delict daar met opzet is aangebracht. Dit alles toont aan tot hoeveel moeite aanvallers bereid zijn om zo lang mogelijk ongeïdentificeerd te blijven. We hebben altijd gezegd dat attributie in cyberspace erg moeilijk is, omdat veel factoren kunnen worden vervalst, en Olympic Destroyer is daar een duidelijk voorbeeld van.”
"Een andere les die deze kwestie ons heeft geleerd, is dat toeschrijving aan een bepaalde bron uiterst serieus moet worden bekeken”, vervolgt Kamluk. “Als we bedenken in welke mate cyberspace de laatste tijd is gepolitiseerd, kan verkeerde attributie leiden tot ernstige gevolgen en kunnen actoren proberen de opinie van de veiligheidsgemeenschap te manipuleren om de geopolitieke agenda te beïnvloeden."
De juiste attributie van Olympic Destroyer is nog steeds een groot vraagteken, simpelweg omdat het een uniek voorbeeld is van de implementatie van zeer geavanceerde valse vlaggen. Onderzoekers van Kaspersky Lab hebben echter ontdekt dat de aanvallers gebruik hebben gemaakt van de privacybeveiligingsdienst NordVPN en een hostingprovider genaamd MonoVM, die beide Bitcoins accepteren. Deze en enkele andere ontdekte TTP's zijn eerder gebruikt door de Russischtalige actor Sofacy.
Producten van Kaspersky Lab detecteren en blokkeren de Olympic Destroyer-malware met succes.
Lees meer over hoe onderzoekers van Kaspersky Lab de aanvallen van Olympic Destroyer in Zuid-Korea en Europa hebben onderzocht in de blogpost op Securelist.com.