Posted 18 октября 2019, 09:41

Published 18 октября 2019, 09:41

Modified 7 марта, 15:19

Updated 7 марта, 15:19

Журнал Wired: Россия пыталась испортить Олмипиаду - 2018

18 октября 2019, 09:41
Эксперты предполагают, что из-за того, что российским спортсменам было запрещено участвовать в Олимпиаде под российским флагом и принимать медали от имени страны, Россия просто решила испортить праздник остальным.

Влиятельный англо-американский журнал Wired, посвященный компьютерным технологиям опубликовал расследование инцидента в столице зимней Олимпиады прошлого года Пхёнчхане, серверы которой подверглись массированной хакерской атаке прямо перед церемонией открытия, так что многие гости не смогли на нее попасть — не удалось распечатать билеты. Телеграм-канал Нецифровая экономика анализирует эту публикацию.

В результате атаки вируса, который получил название Olympic Destroyer, в тот день легли официальный сайт Олимпиады и Wi-Fi на стадионе. Трансляция также велась с перебоями. Встала вся IT-инфраструктура стадиона, а именно более 10 000 компьютеров, более 20 000 мобильных устройств, 6300 Wi-Fi роутеров и 300 серверов в двух дата-центрах Сеула. Восстановить работу систем удалось лишь после отключения всей сети от интернета и создания собственной антивирусной сигнатуры. Проблема была решена буквально за одну ночь.

Тогда выяснить, кто стоит за атакой, не удалось, хотя подозрение падали на Россию, Северную Корею и даже Китай. Wired попытался разобраться, что тогда произошло.

«Лаборатория Касперского» идентифицирует Olympic Destroyer как сетевой червь. Им были заражены как минимум три площадки, указывают эксперты:

- Официальный сайт pyeongchang2018.com

- Серверы сети лыжных курортов

- Серверы компании Atos, поставщика IT-услуг.

С этих площадок вирус автоматически распространялся по сети через механизм совместного доступа к файлам Windows. Параллельно он воровал с зараженных компьютеров сохраненные пароли, дописывал их в себя и использовал для дальнейшего распространения. По данным «Касперского», конечной целью Olympic Destroyer было уничтожение файлов на сетевых дисках и вывод системы из строя.

Кто его запустил? Wired долго и нудно описывает, как разные эксперты по кибербезопасности пытались установить источник атаки, но у них ничего не получалось: в коде вируса были многочисленные «фейковые улики», которые указывали на Северную Корею, Китай и ряд других стран. Несколько исследователей независимо друг от друга приходили к разным выводам о том, кто мог устроить эту атаку.

Ближе всех, по мнению Wired, подобрался сотрудник FireEye Майкл Матонис, чью версию издание в итоге и излагает. По его версии, за атакой стоит Россия, а конкретно — ГРУ и войсковая часть 74455 по адресу: Химки, улица Кирова, 22. Это здание в ГРУ, по утверждению американского Минюста, называют «Башней». Подробнее о ней можно почитать здесь.

На связь с ГРУ эксперта натолкнул анализ архивных фишинговых файлов. Матиас проанализировал похожие файлы и нашел общие черты обфускации (запутывании кода, с целью сделать невозможным его анализ) зараженных файлов. Кроме того, похожие соответсвия он нашел в файлах, которые ранее были направлены против украинских ЛГБТ-активистов и в атаках со стороны российской хакерской группировки Sandworm на украинскую инфраструктуру в 2015 году. Затем он выяснил, что все фишинговые письма были отправлены с единого сервера account-loginserv.com. Сомнения в причастности ГРУ отпали после публикации доклада Мюллера о вмешательстве России в выборы США в 2016 году. В документе описывались те же методы, что использовали хакеры во время атаки на Олимпийские игры двумя годами позднее. Это и стало решающим аргументом в итогах расследрования, указывает Wired.

Примечательно, что в марте 2018 года «Лаборатория Касперского» назвала в качестве главного подозреваемого русскоязычную хакерскую группировку Sofacy (также известную как APT28 и Fancy Bear). Однако Wired намекает, что «Касперский» уже тогда понял, что за атакой стоит именно российское правительство. Просто не захотел говорить.

Зачем это нужно российскому правительству Wired не знает, но предполагает, что из-за того, что российским спортсменам было запрещено участвовать в Олимпиаде под российским флагом и принимать медали от имени страны, Россия просто решила испортить праздник остальным. (Да, именно так там и написано).

МИД не ответил на вопросы Wired, однако издание обращает внимание, что за несколько дней до атаки, российский МИД заявлял, что в случае инцидента на Олимпиаде, западные СМИ будут искать русский след. «Но как всегда без доказательств», — разводил руками представитель МИДа.

Подпишитесь