Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Olympic Destroyer mette in crisi l’apertura delle Olimpiadi invernali
Il virus ha messo K.O. le connessioni a Internet e le trasmissioni video per i giornalisti che seguivano la cerimonia di apertura a PyeongChang.
Difficile fare un reportage in diretta senza una connessione Internet e senza poter vedere le immagini tramite la TV. A rendere la vita dura ai colleghi che stavano seguendo la cerimonia di apertura dei giochi olimpici invernali di PyeongChang, si scopre adesso, è stato un malware particolarmente insidioso.
Il virus, battezzato dai ricercatori con il nome di Olympic Destroyer, avrebbe colpito alcuni servizi (il Wi-Fi e il sistema televisivo) della sala stampa e il sito Internet ufficiale dell’evento, causando non pochi problemi a chi cercava inutilmente di stampare i biglietti acquistati online.
Giornalisti presenti sul posto e spettatori, da quanto si capisce adesso, sono stati vittima di un attacco che aveva il preciso obiettivo di creare il caos nel corso della cerimonia di apertura.
Stando alle analisi effettuate dal team Talos di Cisco, Olympic Destroyer è stato progettato specificatamente per portare a termine un’azione di sabotaggio ai danni dei sistemi dell’organizzazione olimpica. Il virus, infatti, esegue una procedura che sembra ideata per creare il massimo danno in una rete complessa di computer.
Sebbene i ricercatori di Talos non abbiano ancora individuato il vettore di attacco iniziale, hanno ricostruito le azioni compiute da Olympic Destroyer una volta installato sul “paziente zero” all’interno della rete informatica di PyeongChang 2018.
Una volta compromesso il primo computer, Olympic Destroyer avvia due procedure parallele: la prima punta a rubare le credenziali dei browser (Chrome, Firefox ed Explorer) mentre la seconda sfrutta una tecnica simile a quella usata da Mimikatz per appropriarsi delle credenziali di accesso al sistema tramite Windows LSASS (Local Security Authority Subsystem Service). Il malware avvia poi una ricerca per identificare gli altri computer collegati nella rete locale e si diffonde al suo interno.
A questo punto avvia l’operazione di sabotaggio, utilizzando come prima cosa VSSAdmin per cancellare le copie Shadow Volume e impedire agli amministratori di sistema il recupero dei dati. Un’operazione simile prende di mira il sistema di backup del sistema e la console di recupero.
DIsabilitando tutti i sistemi dedicati al recupero dei dati, i pirati informatici si assicurano che i sistemi rimangano fuori gioco almeno per qualche tempo.
Infine, il virus disabilita tutti i servizi di Windows sul PC, cancella il log di sistema per eliminare le tracce delle sue azioni e forza lo spegnimento del computer. Risultato finale: i PC non possono essere avviati.
La natura esclusivamente “distruttiva” del malware viene confermata dai ricercatori specificando che il virus non contiene alcuno strumento pensato per rubare dati o informazioni dai sistemi colpiti. Il suo obiettivo è esclusivamente quello di mettere K.O. le macchine colpite.
Ora l’attenzione si sposta sull’attribuzione dell’attacco. Scartata l’ipotesi di un’azione portata avanti dalla Corea del Nord, che sta utilizzando queste olimpiadi come un’occasione per gettare ponti diplomatici verso i “cugini” del sud, molti hanno cominciato a puntare il dito (come al solito) contro la Russia.
Il motivo? Una ritorsione per l’esclusione degli atleti russi accusati di doping dal Comitato Olimpico Internazionale. La materia, comunque, rimane oggetto di speculazione per gli appassionati delle teorie del complotto.
Alcuni fanno notare, per esempio, che anche gli Stati Uniti (a cui di certo non mancherebbero i mezzi per portare un attacco simile) avrebbero tutto l’interesse a “disturbare” l’evento. L’esperienza insegna che ci vorrà un po’ di tempo per capirci qualcosa e, molto probabilmente, si rischia di non arrivare mai a una spiegazione convincente.
Per il momento giornalisti e spettatori possono stare tranquilli: i sistemi sono stati ripristinati e tutto sembra funzionare a meraviglia.
Condividi l'articolo
Falla critica in Skype, ma Microsoft non la corregge
Sistemi Cisco sotto attacco. Avete la patch giusta?
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
One thought on “Olympic Destroyer mette in crisi l’apertura delle Olimpiadi invernali”