So geht der Bedrohungsakteur vor
Der ursprüngliche Olympic Destroyer verwendete sehr raffinierte Täuschungsmanöver. Der Bedrohungsakteur machte sich zunächst sehr überzeugende Köder-Dokumente zunutze, die mit versteckter Malware geladen waren, und implementierte daraufhin Verschleierungsmechanismen, um seine Tools vor jeglichen Schutzlösungen zu verstecken. Kurioserweise agierte die Malware unter falscher Flagge, um die Bedrohungsanalyse weiter zu erschweren.
Bei dieser neuen Bedrohungsvariante wird die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die Olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind, verbreitet. Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung allerdings einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Technische Informationen zur Malware und ihrer Infrastruktur sowie Kompromittierungsindikatoren finden Sie in diesem Artikel auf Securelist.
Neue Absichten
Wirklich neu sind die Ziele, auf die es die Malware abgesehen hat. Unsere Analyse hat gezeigt, dass die Cyberkriminellen dieses Mal versucht haben, in Labore für biologische und chemische Bedrohungen einzudringen. Zu ihren neuen Zielen gehören auch russische Finanzorganisationen – obwohl es sich hierbei erneut um ein Täuschungsmanöver handeln könnte.
Zusätzlich zu verschleierten Skripten enthalten die Dokumente, mit denen Nutzer angelockt werden sollen, Verweise auf die „Spiez Convergence“ (eine in der Schweiz abgehaltene Konferenz für Forscher zu biochemischen Bedrohungen). Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen.
Das bedeutet Olympic Destroyer für Ihr Unternehmen
Wenn wir von Bedrohungen berichten, die sich über Phishing verbreiten, raten wir allen Nutzern für gewöhnlich, beim Öffnen verdächtiger Dokumente vorsichtiger zu sein. Leider ist diese Vorgehensweise in diesem Fall erfolglos – die Dokumente sind keinesfalls verdächtig.
Die für diesen Spear-Phishing-Angriff erstellen Köder-Dokumente sind für die möglichen Opfer tatsächlich relevant. Daher können wir Unternehmen und Organisationen, die sich mit der Prävention und Erforschung biochemischer Bedrohungen befassen, lediglich dazu auffordern, außerplanmäßige Sicherheitsprüfungen durchzuführen. Darüber hinaus sollte eine zuverlässige Schutzlösung installiert sein.
Produkte von Kaspersky Lab entdecken und blockieren die Malware Olympic Destroyer.
Weiterführende Links:
Olympic Destroyer is still alive
kaspersky.de/blog: Der Bedrohungsakteur Olympic Destroyer ist zurück
