Image

با دوستان خود به اشتراک بگذارید

چه کسی بازی های المپیک را هک کرد؟

سال های دور، در طول بازی های المپیک،  مرسوم بود که کشورهای شرکت کننده جنگ هایشان را متوقف کنند و مناقشه های سیاسی را کنار بگذارند. امروز روال برعکس شده است. بازی های المپیک زمستانی پیونگ یانگ با یک رسوایی بزرگ آغاز شد: هکرهای نامعلوم اندک زمانی قبل از مراسم افتتاحیه به سرورها حمل کردند، در نتیجه شمار کثیری از تماشایان نتوانستند در مراسم شرکت کنند، چرا که قادر نبودند بلیط هایشان را چاپ کنند.

در نتیجه این حمله، بدافزاری به نام Olympic Destroyer  به وب سایت رسمی المپیک و Wi-Fi استادیوم و همچنین برنامه پخش مراسم حمله کرد. کمیته سازمان دهنده اطمینان داد که این اتفاق هیچ عواقب مهمی در برنخواهد داشت، اما بلوای بوجود آمده اصلا بامزه نبود. بنابراین فهمیدن اینکه چه اتفاقی افتاده است و چه کسی پشت این اتفاق بوده است، واقعا جالب است.

Olympic Destroyer چگونه کار می کند؟
با توجه به مکانیزم انتشار این بدافزار می توان نتیجه گرفت که Olympic Destroyer ورم شبکه است. محققان کسپرسکی حداقل سه پلتفرم راه اندازی کشف کردند که از همان ابتدا آلوده شده و سپس برای انتشار ورم مورد استفاده قرار گرفتند: این پلتفرم ها شامل  pyeongchang2018.com، سرورهای شبکه زمین اسکی، سرورهای Atos و ارائه دهنده خدمات IT بودند.

ورم از این پلتفرم ها از طریق اشتراک شبکه ویندوز بصورت خودکار منتشر می شود. در طول راه گذرواژه های ذخیره شده در کامپیوتر های آلوده را سرقت می کند، آنها را روی خودش ذخیره می کند و در انتشارهای بعدی استفاده می کند. هدف نهایی Olympic Destroyer این است که فایل را از درایو شبکه پاکسازی کند، تا ورم بتواند سیستم های آلوده را از بین ببرد.

چه کسی مهمانی را بهم زد؟
روزنامه نگاران و بلاگر ها در مورد اینکه چه کسانی سعی در ایجاد اختلال مراسم بازی های المپیک داشتند و قصد آنها از این کار چه بوده است، حدسیات فراوان ارائه دادند. کره شمالی حتی قبل از شروع بازی ها نیز مظنون بود: ظاهراً کره شمالی به جاسوسی از رایانه های کمیته سازماندهی برگزاری مراسم مشغول بوده است.

طبیعی ست که مظنون بعدی روس ها بودند: خب بالاخره ، فقط اعضای انتخابی تیم روسیه اجازه داشتند تحت محدودیت های شدید در مسابقات شرکت کنند و پرچم ملی این کشور نیز ممنوع شده بود. اما وقتی محققان شباهتی بین Olympic Destroyer و بدافزار ساخته شده توسط مجرمان سایبری چینی شناسایی کردند، اینبار چینی ها در مظن اتهام قرار گرفتند.  

کسپرسکی در این مورد تحقیق می کند
همچنانکه عموم مردم راجع به مسببان این اتفاق حدس می زنند، محققان امنیت سایبری به کشف شواهد و قراین می پردازند. کسپرسکی نیز بررسی های خود را انجام می دهد.
در ابتدا، محققان کسپرسکی هم مثل خیلی های دیگر، به مجرمان سایبری کره شمالی مظنون شدند، مخصوصا گروه لازاروس. بعد از بررسی نمونه ای از Olympic Destroyer ، محققان مجموعه ای از اثر انگشت های دیجیتالی پیدا کردند که به طور مستقیم به لازاروس مربوط می شد.

با اینحال، پس از مطالعه دقیقتر اختلاف های بیشتری پیدا شد. بعد از ارزیابی کامل همه نشانه های تروجان و مطالعه دقیق کد، کارشناسان امنیتی متوجه شدند که آن چیزی که بنظر یک تقلید ماهرانه می آمده است، در اصل برای رد گم کردن بوده است.

علاوه بر اینها، وقتی متخصصان کسپرسکی در حال مطالعه Olympic Destroyer  بوده اند، شواهدی دیگری مبتنی بر دست داشتن گروه هکری روسی معروف به گروه Sofacy را نیز مشاهده کردند ( که به نام های APT28 و Fancy Bear نیز شناخته می شود). با اینحال، احتمال اشتباه بودن این شواهد نیز همیشه وجود دارد. وقتی صحبت از خرابکاری های سایبری سطح بالا در میان است، هرگز نمی توانید به هیچ چیزی اطمینان صددرصدی داشته باشید.  

با دوستان خود به اشتراک بگذارید