Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Olympic Destroyer mette in crisi l’apertura delle Olimpiadi invernali
Il virus ha messo K.O. le connessioni a Internet e le trasmissioni video per i giornalisti che seguivano la cerimonia di apertura a PyeongChang.
Difficile fare un reportage in diretta senza una connessione Internet e senza poter vedere le immagini tramite la TV. A rendere la vita dura ai colleghi che stavano seguendo la cerimonia di apertura dei giochi olimpici invernali di PyeongChang, si scopre adesso, è stato un malware particolarmente insidioso.
Il virus, battezzato dai ricercatori con il nome di Olympic Destroyer, avrebbe colpito alcuni servizi (il Wi-Fi e il sistema televisivo) della sala stampa e il sito Internet ufficiale dell’evento, causando non pochi problemi a chi cercava inutilmente di stampare i biglietti acquistati online.
Giornalisti presenti sul posto e spettatori, da quanto si capisce adesso, sono stati vittima di un attacco che aveva il preciso obiettivo di creare il caos nel corso della cerimonia di apertura.
Stando alle analisi effettuate dal team Talos di Cisco, Olympic Destroyer è stato progettato specificatamente per portare a termine un’azione di sabotaggio ai danni dei sistemi dell’organizzazione olimpica. Il virus, infatti, esegue una procedura che sembra ideata per creare il massimo danno in una rete complessa di computer.
Sebbene i ricercatori di Talos non abbiano ancora individuato il vettore di attacco iniziale, hanno ricostruito le azioni compiute da Olympic Destroyer una volta installato sul “paziente zero” all’interno della rete informatica di PyeongChang 2018.
Una volta compromesso il primo computer, Olympic Destroyer avvia due procedure parallele: la prima punta a rubare le credenziali dei browser (Chrome, Firefox ed Explorer) mentre la seconda sfrutta una tecnica simile a quella usata da Mimikatz per appropriarsi delle credenziali di accesso al sistema tramite Windows LSASS (Local Security Authority Subsystem Service). Il malware avvia poi una ricerca per identificare gli altri computer collegati nella rete locale e si diffonde al suo interno.
A questo punto avvia l’operazione di sabotaggio, utilizzando come prima cosa VSSAdmin per cancellare le copie Shadow Volume e impedire agli amministratori di sistema il recupero dei dati. Un’operazione simile prende di mira il sistema di backup del sistema e la console di recupero.
DIsabilitando tutti i sistemi dedicati al recupero dei dati, i pirati informatici si assicurano che i sistemi rimangano fuori gioco almeno per qualche tempo.
Infine, il virus disabilita tutti i servizi di Windows sul PC, cancella il log di sistema per eliminare le tracce delle sue azioni e forza lo spegnimento del computer. Risultato finale: i PC non possono essere avviati.
La natura esclusivamente “distruttiva” del malware viene confermata dai ricercatori specificando che il virus non contiene alcuno strumento pensato per rubare dati o informazioni dai sistemi colpiti. Il suo obiettivo è esclusivamente quello di mettere K.O. le macchine colpite.
Ora l’attenzione si sposta sull’attribuzione dell’attacco. Scartata l’ipotesi di un’azione portata avanti dalla Corea del Nord, che sta utilizzando queste olimpiadi come un’occasione per gettare ponti diplomatici verso i “cugini” del sud, molti hanno cominciato a puntare il dito (come al solito) contro la Russia.
Il motivo? Una ritorsione per l’esclusione degli atleti russi accusati di doping dal Comitato Olimpico Internazionale. La materia, comunque, rimane oggetto di speculazione per gli appassionati delle teorie del complotto.
Alcuni fanno notare, per esempio, che anche gli Stati Uniti (a cui di certo non mancherebbero i mezzi per portare un attacco simile) avrebbero tutto l’interesse a “disturbare” l’evento. L’esperienza insegna che ci vorrà un po’ di tempo per capirci qualcosa e, molto probabilmente, si rischia di non arrivare mai a una spiegazione convincente.
Per il momento giornalisti e spettatori possono stare tranquilli: i sistemi sono stati ripristinati e tutto sembra funzionare a meraviglia.
Condividi l'articolo
Falla critica in Skype, ma Microsoft non la corregge
Sistemi Cisco sotto attacco. Avete la patch giusta?
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
One thought on “Olympic Destroyer mette in crisi l’apertura delle Olimpiadi invernali”