הסיפור שלא סופר על מתקפת הסייבר באולימפיאדת 2018

(של קרלו מאקלי)
10/02/20

ב- 1863 בינואר XNUMX נולד פייר דה קוברטין, האיש שאליו עלינו לומר תודה על כך שהכנסנו מחדש את האולימפיאדה. כוונותיו וערכיו הנאצלים הם תמצית הספורט אך לרוע המזל הם היו ולעיתים קרובות נבגדים ברציפות בימינו.

מדוע, אחרי כל כך הרבה שנים, אנחנו עדיין כל כך מוקסמים מהאולימפיאדה?

בנוסף למתן נראות לכל ענפי הספורט ומסמל את האיחוד בין העמים בתקופות קשות, האולימפיאדה מייצגת המשכיות עם מקורנו. חמשת המעגלים, למעשה, נתפסים כחוט השכיח המתחיל מיוון העתיקה והולך עד המאה ה -XNUMX. נקודת מגע ביננו לבין שורשינו. עמים משתנים, מטבעות, מנהגים ומנהגים משתנים, אך האדם תמיד נשאר הגיבור.

עם עולם הספורט שמופנה יותר ויותר לאינטרסים כלכליים על חשבון התשוקה, אין פלא שסיפור שהתרחש בתקופה האחרונה ומספר כיצד בימינו שום דבר לא יכול להיחשב בטוח וכל דבר יכול לייצג מטרה עבור אלה, אשר יותר ויותר לעתים קרובות, כשהם שוכרים וממומנים על ידי מדינות שונות, הם מייצרים סערה כדי להביא לשינויים חברתיים, פוליטיים וכלכליים שיכולים להעדיף אותם.

לקוח מספרו של אנדי גרינברג תולעת חול, מאמר זה מתחקה אחר ההיסטוריה של מתקפת הסייבר שהתרחשה ערב המשחקים האולימפיים בחורף 2018; סיפור שעבר בשתיקה ומעט מאוד היה ידוע עליו אך מהווה אחת הדוגמאות הבולטות ביותר ל מלחמה ממוחשבת של ההיסטוריה.

קצת לפני השעה 20:00 ב- 9 בפברואר 2018, בהרים הצפון-מזרחיים של דרום קוריאה, סאנג-ג'ין או ישב בשקט בכיסא כמה עשרות שורות מרצפת האצטדיון האולימפי המחומש העצום בפיונגצ'אנג. הוא לבש ז'קט אולימפיאדה רשמי, אפור ואדום, שהחמם אותו למרות מזג האוויר הכמעט קפוא, ומקומו, מאחורי מדור העיתונות, היה מושלם להשקפה ברורה ושלמה על הבמה המוגבהת והעגולה של כמה מאות מטרים לפניו. טקס הפתיחה של המשחקים האולימפיים בחורף 2018 עמד להתחיל.

כשהאורות התפתלו סביב המבנה החשוף של האצטדיון, ההמתנה נשמה דרך הבאז של יותר מ -35.000 איש והמופע היה פנטסטי. ניכר היה כי מעטים אנשים חיו את ההמתנה בעוצמה רבה יותר ממנו. במשך יותר משלוש שנים היה עובד המדינה בן 47 אחראי לתשתית הטכנולוגית של הוועד המארגן של אולימפיאדת פיונגצ'אנג. הוא פיקח על התקנת תשתית IT למשחקים שכללה יותר מ- 10.000 מחשבים אישיים, 20.000 מכשירים ניידים, 6.300 נתבי Wi-Fi וכ -300 שרתים בשני מרכזי נתונים שנמצאים בסיאול.

תשתית זו עבדה בצורה מושלמת או, לפחות, היא נראתה עד כה. למעשה, חצי שעה קודם לכן הוא שמע על בעיה טכנית מעצבנת. המקור לבעיה זו הייתה חברת IT שממנה, לקראת האולימפיאדה, הושכרו עוד מאה שרתים. והיה ברור שחצי שעה לאחר החנוכה, החדשות האלה היו משהו בלתי נסבל, במיוחד בהתחשב בעיניו שעיניו של כל העולם עליו.
עם זאת, מרכזי הנתונים בסיאול לא דיווחו על שום סוג של תקלה וצוות Oh האמין שהבעיות ניתנות לטיפול. הוא עדיין לא ידע שאי אפשר להדפיס כרטיסים לאצטדיון. אז הוא התיישב במקומו, מוכן ליהנות מאותו אירוע שהיה ללא ספק הרגע החשוב ביותר בקריירה שלו.

עשר שניות לפני 20, מספרים של הספירה לאחור החלו להופיע, אחד אחד, בעוד מקהלה של קולות ילדים סימנה את הספירה לאחור בקוריאנית:
"לגימה! ... גו! ... חבר! ... צ'יל!

באמצע הספירה לאחור, הטלפון של אוה התבהר לפתע. הוא הביט למטה וראה הודעה KakaoTalk, אפליקציית העברת הודעות קוריאנית פופולרית. ההודעה ייצגה את החדשות הגרועות ביותר שאוה יכול היה לקבל באותה תקופה: "היה משהו או מישהו שכיבה את כולם בקר תחום קיים במרכזי הנתונים בסיאול, כלומר השרתים שהיוו את עמוד השדרה של תשתית ה- IT של האולימפיאדה ".

מיד עם תחילת טקס הפתיחה התפוצצו אלפי זיקוקים סביב האצטדיון ועשרות בובות ורקדניות קוריאניות נכנסו לבמה. אה, עם זאת, הוא לא ראה כל זה. למעשה, הוא העביר הודעות בזעם עם אנשי הצוות שלו כשהם צפו בחוסר אונים בכל תשתיות ה- IT שלהם נסגרות ללא רחם. עד מהרה הוא הבין שמה שדיווחה חברת השותפים אינה בעיה טכנית פשוטה. זה היה הסימן הראשון למתקפה מתמשכת. כעת היה ברור שהוא צריך להגיע למרכז הפעולות הטכנולוגיות שלו.

כאשר הו הגיע ליציאה מהאצטדיון ממדור העיתונות, כתבים סביבו כבר החלו להתלונן על תקלה של ה- Wi-Fi. אלפי טלוויזיות המחוברות לאינטרנט המציגות את הטקס סביב האצטדיון וב -12 מקומות אולימפיים אחרים השחירו. כל כניסות האבטחה מבוססות ה- RFID שאיפשרו גישה לכל בניין אולימפי לא היו פעילות. האפליקציה הרשמית של האולימפיאדה, כולל פונקציית הכרטיסים הדיגיטליים, לא הייתה בסדר.

אולם הוועדה המארגנת של פיונגצ'אנג התכוננה למצבים דומים. צוות אבטחת הסייבר שלו נפגש 20 פעמים מאז 2015. הם ערכו תרגילים בקיץ של השנה הקודמת, המדמים אסונות כמו פיגועי סייבר, שריפות ורעידות אדמה. אך כעת, לאחר שאחד מתרחישי הסיוט ההוא התגלה, התחושה, עבור הו, הייתה מטורפת וגם סוריאליסטית. "זה קרה בפועל", חשב או, כאילו להתנער מהתחושה שזה רק חלום רע.

ברגע שאה עשה את דרכו בקהל, הוא רץ ליציאה מהאצטדיון ויצא לאוויר הלילה הקר, אליו הצטרפו שני עובדי IT נוספים. הם קפצו לרכב שטח של יונדאי והחלו בנסיעה הארוכה ביותר של 45 דקות מחייהם, כדי להגיע לעיר החוף גאנגנונג, שם ממוקם מרכז הפעילות הטכנולוגי באולימפיאדה.

מהרכב, או התקשר לעובדים באצטדיון והודיעו להם להתחיל להפיץ נקודות חמות של רשת Wi-Fi לכתבים ולהודיע ​​לאבטחה לבדוק את התגים באופן ידני, מכיוון שכל מערכות ה- RFID לא היו בסדר. אבל זה היה המעט מהדאגות שלהם. אה, הוא ידע שבעוד שעתיים יסתיים טקס הפתיחה ועשרות אלפי ספורטאים, מבקרים וצופים יגלו כי אין להם חיבורי Wi-Fi ואין להם גישה לאפליקציית האולימפיאדה, מלאה בלוחות זמנים, מידע על מלונות ומפות. התוצאה הייתה משפילה. אם הם לא היו מצליחים להעלות את השרתים למחרת בבוקר, כל תומכי ה- IT של הוועדה המארגנת, שהיה אחראי על כל דבר, החל מארוחות וכלה בהזמנת מלונות וכלל בכרטיסים לאירועים, היה נשאר במצב לא מקוון בזמן שהמשחקים היו במלוא התנופה. הפיאסקו הטכנולוגי הגדול ביותר בהיסטוריה באחת המדינות המתקדמות ביותר מבחינה טכנולוגית בעולם היה באופק.

אה הגיע למרכז התפעול הטכנולוגי של גאנגנונג בשעה 21 בערב, באמצע טקס הפתיחה. המרכז כלל חלל פתוח גדול עם שולחנות ומחשבים ל -150 עובדים; קיר שלם היה מכוסה במסכים. עם כניסתו, רבים מהצוות עמדו, התגודדו יחד ושוחחו בדאגה כיצד להגיב לפיגוע. הבעיה התווספה גם מהעובדה ששירותים בסיסיים כמו דואר אלקטרוני והודעות לא היו מקוונים.

כל תשעת בקרי התחום ששלטו על אימות הושבתו איכשהו, מה שהפך את כל המשאבים לבלתי נגישים. הצוות החליט על פיתרון זמני, כלומר לעקוף את מה שמכונה מכונות שומרי סף מתים באמצעות הגדרת גישה ישירה לכל השרתים שנותרו בחיים שהפעילו כמה שירותים בסיסיים, כגון Wi-Fi וטלוויזיות מחוברות לאינטרנט. בדרך זו הם הצליחו להחזיר את אותם שירותים לאינטרנט מספר דקות לפני סיום הטקס.

בשעתיים הקרובות, תוך כדי ניסיון לבנות מחדש את בקרי התחום כדי ליצור מחדש רשת טובה ובטוחה יותר, הטכנאים יגלו כי כמו במשחק החפרפרת, השירותים נעצרו הרבה יותר מהר מכפי שהצליחו לשחזר אותם. סימן ברור לנוכחותו של מישהו ברשת.

כמה דקות לפני חצות הו ומנהלי המערכת שלו החליטו באי רצון על צעד נואש: הם ינתקו את כל הרשת מהאינטרנט בניסיון לבודד אותה מהתוקפים כי היה ברור שהם יכולים לנוע פנימה בזכות ערוצי הפיקוד והבקרה ש הם הבינו. כמובן שהמשמעות הייתה פירוק כל שירות, אפילו אתר האולימפיאדה הציבורית. מצד שני, זו הייתה הדרך היחידה למגר כל זיהום.

בשארית הלילה הו וצוותו עבדו בטירוף לבנות מחדש את "מערכת העצבים הדיגיטלית" של האולימפיאדה. בשעה חמש בבוקר, שותף אבטחה קוריאני, AhnLab, הצליח ליצור חתימת אנטי-וירוס שיכולה הייתה לעזור לצוות של Oh לעצור תוכנות זדוניות באלפי מחשבים אישיים ושרתים שנדבקו.

בשעה 6:30 בבוקר, מנהלי המערכת מאפסים את סיסמאות הצוות בתקווה לחסום גישה להאקרים. קצת לפני השעה 8 בבוקר באותו בוקר, כמעט בדיוק 12 שעות לאחר שהתחילה מתקפת הסייבר באולימפיאדה, הו ומשתפי הפעולה שלו, ללא שינה, סיימו לבנות מחדש את השרתים שלהם מגיבויים והחלו להפעיל מחדש את השירותים.

למרבה ההפתעה, הכל עבד ובסך הכל השירות הבסיסי היה מינימלי. עיתונאית מטעם בוסטון גלובלימים הוא כינה את המשחקים "מאורגנים ללא רבב". אלפי ספורטאים ומיליוני צופים לא היו מודעים לעובדה שצוות האולימפיאדה העביר את הלילה בלחימה נגד אויב בלתי נראה שאיים להשליך את כל האירוע לכאוס.
שעות ספורות לאחר הפיגוע, השמועות הראשונות, עם זאת, החלו להסתובב ביישובי הסייבר בנושא הבעיות שהפילו את אתר האולימפיאדה, תשתית Wi-Fi ואפליקציות שונות במהלך טקס הפתיחה. יומיים לאחר הטקס אישרה הוועדה המארגנת של פיונגצ'אנג כי היא הייתה היעד של התקפת סייבר, אך סירבה להתייחס למי שעומד מאחורי אותה פיגוע.

התאונה הפכה מייד למקרה בינלאומי. מי היה מעז לבצע פיגוע סייבר על התשתית הדיגיטלית של האולימפיאדה?

מתקפת הסייבר של פיונגצ'אנג תתברר כפעולת ההאקינג המתעתעת ביותר בהיסטוריה שבמהלכה נעשה שימוש באמצעים המתוחכמים ביותר שנראו עד כה כדי לבלבל אנליסטים משפטית בחיפוש אחר האשמים.

הקושי להוכיח את מקור הפיגוע, מה שמכונה בעיית הייחוס, הציק אבטחת סייבר מאז שחר האינטרנט. ההאקרים המתוחכמים ביותר יכולים ליצור את הקשרים שלהם על ידי ניצול מסלולי פיתול והכנסת מבוי סתום בתוך המסלולים עצמם, מה שמאפשר כמעט שלא לעקוב אחר עקבותיהם. עם זאת, אנליסטים משפטית למדו לקבוע את זהותם של האקרים באמצעים אחרים, מחפשים רמזים בקוד, קשרים לתשתיות ומניעים פוליטיים.

אולם בשנים האחרונות ניסו יותר ויותר מרגלים ברשת וחבלנים בחסות המדינה לטריק נוסף: נטיעת מה שמכונה "דגלים כוזבים". מעשים אלה, שנועדו להונות את אנליסטים הביטחוניים ואת הטכנאים כאחד, הולידו נרטיבים דמיוניים לגבי זהותם של האקרים שקשה למחוק, גם לאחר שהממשלות הודיעו על התוצאות הרשמיות שהושגו על ידי סוכנויות הביון שלהם. כמובן, זה לא עוזר שהתוצאות הרשמיות הללו מגיעות לעתים קרובות, שבועות ואפילו חודשים, אחרי שההתקפה אירעה, אבל זהו.
לדוגמה, כאשר האקרים צפון קוריאנים הפרו את ה- תמונות סוני בשנת 2014, כדי למנוע את שחרורו של "הראיון", הם המציאו קבוצה "האקטיוויסטית" בשם "שומרי השלום" וניסו להטעות חוקרים באמצעות פתק כופר מעורפל. גם לאחר שהאף.בי.א הכריז על צפון קוריאה באחריות והבית הלבן הטיל סנקציות חדשות נגד משטר קים כעונש, כמה חברות אבטחה המשיכו לטעון כי התקיפה ודאי נוצרה מבפנים.

כאשר האקרים רוסים בחסות המדינה גנבו ופרסמו הודעות דוא"ל מהוועד הלאומי הדמוקרטי ומהקמפיין של הילארי קלינטון בשנת 2016, אנו יודעים כעת כי הקרמלין, גם הוא, המציא סיפורים לחיפוי ולהפנות לאחרים. האחריות להתקפה זו. הוא המציא האקר רומני בודד בשם Guccifer 2.0 לייחס את ההתקפה, וגם הפיץ שמועות כי איש צוות דמוקרטי שנרצח מאוחר יותר בשם סת ריץ 'היה אחראי על פרסום המיילים והפצת מסמכים. נגנב באמצעות אתר מזויף בשם DCLeaks. הידיעות או ההטעיות הכוזבות הללו, אם אתה מעדיף, הפכו לתיאוריות קונספירציה, ששימשו וניצלו על ידי תומכי הימין והמועמד לנשיאות דונלד טראמפ.

כך נוצרה אווירה של חוסר אמון במוסדות וזיכוי למי שתמך בתזות השווא והסקפפטים דחו גם אינדיקציות ברורות שהובילו לאחריות הקרמלין עד כדי כך שאמרה הצהרה משותפת של סוכנויות הביון האמריקאיות , שהתרחשה כעבור ארבעה חודשים, מה שייחס לרוסיה את האחריות לפיגוע כבר לא יכול היה לשנות את מה שאנשים רגילים חשבו על המקרה. וגם היום, סקר של "אקונומיסט" מראה שכמחצית מהאמריקנים אמרו שהם מאמינים כי רוסיה מתערבת בבחירות.

כאשר התוכנה הזדונית פוגעת באולימפיאדת פיונגצ'אנג, אמנות ההונאה הדיגיטלית עשתה צעדים אדירים. החוקרים לא היו מוצאים אף אחד בקוד הזדוני דגל שקר אבל כמה רמזים כוזבים אחרים המצביעים על כמה אשמים פוטנציאליים. וכמה מרמזים אלה הוסתרו כל כך עמוק עד שנאמר כי דבר כזה מעולם לא קרה לפני כן.

מלכתחילה המוטיבציות הגיאו-פוליטיות מאחורי החבלה האולימפית היו רחוקות מלהיות ברורות. ידוע כי כל התקפת סייבר בדרום קוריאה מואשמת כמובן בצפון קוריאה. מה שמכונה "ממלכת הנזיר" הציקה שכנים קפיטליסטים עם פרובוקציות צבאיות וסייברליות ברמה נמוכה במשך שנים. ערב האולימפיאדה, האנליסטים של חברת אבטחת המחשבים McAfee הם הזהירו כי האקרים דוברי קוריאנית כיוונו את המארגנים האולימפיים של פיונגצ'אנג באמצעות דוא"ל דיוג וכי צפון קוריאה הייתה אחראית על יצירת תוכנות זדוניות אד הוק כדי למקד לתשתית הדיגיטלית של האולימפיאדה.

אולם, על הבמה הציבורית היו שלטים סותרים. בתחילת המשחקים האולימפיים נראה היה כי צפון קוריאה ניסתה בגישה ידידותית יותר. הדיקטטור הצפון קוריאני, קים ג'ונג און, שלח את אחותו כשליחה דיפלומטית למשחקים והזמין את נשיא דרום קוריאה מון ג'ה-אין לבקר בבירת פיונגיאנג בצפון קוריאה. שתי המדינות אף השיקו את הרעיון להשתתף במשחקים עם קבוצת הוקי נשים אחת. אז מדוע צפון קוריאה צריכה לפתוח במתקפת סייבר משבשת באמצע המשחקים?

ואז הייתה רוסיה. לקרמלין היה המניע שלו להתקפה על פיונגצ'אנג. חקירות סימום של ספורטאים רוסים הובילו לתוצאה משפילה לפני אולימפיאדת 2018: הספורטאים שלו יורשו להתחרות, אך לא ללבוש צבעים רוסיים או לקבל מדליות מטעם מדינתם. במשך שנים שקדמו לאותו פסק דין, צוות האקרים רוסי בחסות המדינה, המכונה "דובי מהודר", נאבק בחזרה, גנב והדלף נתונים על שיטות הסמים. גלות רוסיה מהמשחקים הייתה בדיוק סוג המינוף שיכול לעורר את הקרמלין להתיר מתקפה משבשת בטקס הפתיחה. אם ממשלת רוסיה לא תוכל ליהנות מהאולימפיאדה, אף אחד לא היה עושה זאת.

אולם גם כאן הדברים לא היו כל כך ברורים. ימים ספורים לפני טקס הפתיחה, רוסיה הכחישה כל פעילות פריצה שמעוררת האולימפיאדה. ממשרד החוץ הרוסי נמסר כי "אנו יודעים שהתקשורת המערבית מתכננת חקירות בדויים בנושא" טביעות אצבעות רוסיות "בפריצות להתקפות על משאבי IT הקשורים לאירוח משחקי החורף האולימפיים ברפובליקה של קוריאה. סוכנות רויטרס. "כמובן, אין שום הוכחות להוכחה."
למעשה, היו הרבה ראיות שיכולות היו להביא לשקלול אחריותה של רוסיה. הבעיה האמיתית היא שהיו רבים אחרים שהצביעו על ההפך על פי משחק הונאה קלאסי.

שלושה ימים לאחר טקס הפתיחה, חטיבת האבטחה של סיסקו בטלוס חשפה כי השיגה עותק של התוכנה הזדונית שנוצרה לאולימפיאדה וניתחה וניתחה אותה. מישהו מהוועדה המארגנת של האולימפיאדה או אולי חברת האבטחה הקוריאנית AhnLab העלה, למעשה, את הקוד הזדוני ל- VirusTotal. מאוחר יותר החברה תפרסם את תוצאות הניתוח בפוסט בבלוג ותיתן לתוכנה הזדונית את השם Olympic Destroyer.

באופן עקרוני, האנטומיה של המשחתת האולימפית דמתה לשתי מתקפות סייבר רוסיות קודמות: NotPetya ו- Bad Rabbit. כמו במקרה של אותן מתקפות קודמות, אולימפיק משחתת השתמשה גם בכלי "גניבת אישורים", בשילוב עם תכונות הגישה מרחוק של חלונות אשר הודות לפגיעות שנחשפו מחוסר העדכונים אפשרו לו להתפשט בין המכונות השונות ברשת. . לבסוף, היא השתמשה ברכיב להשמדת נתונים על מנת לנקות את תצורת האתחול מהמכונות הנגועות לפני שהשבתה את כל שירותי Windows וכיבוי המחשבים כך שלא ניתן יהיה להפעילם מחדש. אנליסטים של חברת האבטחה CrowdStrike היו מוצאים קוד אחר שהתייחס לרוסיה; אלמנטים שדמו לפיסת כופר רוסית המכונה XData.

למרות זאת, לא הייתה שום בהירות מכיוון שנראה כי אין התכתבויות ברורות, מבחינת הקוד, בין המשחתת האולימפית לתולעי NotPetya הקודמות או ארנבות רעות, למרות שהיו בהן מאפיינים דומים. ככל הנראה, הם נוצרו מאפס או הועתקו ממקורות אחרים.

מניתוח מעמיק עוד יותר, עלה כי חלק מחיקת הנתונים של המשחתת האולימפית היה בעל אותם מאפיינים כמו קוד מחיקת הנתונים שלא שימש רוסיה, אלא קבוצת האקרים בצפון קוריאה המכונה לזרוס. כאשר חוקרי סיסקו הציבו את המבנים ההגיוניים של מחיקת הנתונים זה לצד זה, נראה היה שהם תואמים, אם כי באופן רופף. שניהם השמידו קבצים באותה צורה: מחקו רק את 4.096 הבתים הראשונים.

אפשר לומר שצפון קוריאה עמדה מאחורי ההתקפה, אם כן?

עם זאת, היו גם מסלולים אחרים שהובילו לכיוונים שונים לחלוטין. חברת האבטחה אינטרזר ציינה כי פיסת קוד לגניבת אישורים וסיסמאות הוצמדה לאותם כלים בדיוק ששימשה קבוצת האקרים המכונה APT3, קבוצה שמספר חברות אבטחה ברשת קישרו לממשלת סין. החברה גם הצליחה לזהות רכיב שהמשחתת האולימפית השתמשה בו כדי ליצור מפתחות הצפנה ושייכה אותו לקבוצה אחרת, APT10, המקושרת גם לסין. אינטרזר ציין כי רכיב ההצפנה מעולם לא שימש בעבר צוותי פריצה אחרים. רוּסִיָה? צפון קוריאה? חרסינה? ככל שהמשכנו יותר לניתוח התוכנה הזדונית, כך הופיעו יותר שחקנים באופק והכל נראה גם סותר מאוד.

למעשה, כל אותם רמזים, כאמור, סותרים לעתים קרובות מאוד, נועדו לא להוביל אנליסטים לעבר תשובה אחת, אלא ליצור בלבול ולהפוך את הפיתרון לפאזל קשה ביותר. התעלומה העמידה את החוקרים במבחן על ידי יצירת כמות עצומה של ספקות. "זו הייתה לוחמה פסיכולוגית אמיתית שמכוונה לאנליסטים", אמרה סילס קאטלר, חוקרת אבטחה שעבדה באותה תקופה בחברת CrowdStrike.

ספק זה, ממש כמו השפעות החבלה באולימפיאדה, נראה היה היעד האמיתי לתוכנות זדוניות, אמר קרייג וויליאמס, חוקר סיסקו. "אפילו כאשר מתקפה כזו מסיימת את משימתה, ברור שהמסר האמיתי שנשלח לקהילה הביטחונית", אמר וויליאמס. "בניתוח של מתקפת סייבר קשה מאוד לייחס אחריות כי תמיד אפשר להטעות אותך." וזו אכן אמת עמוקה.

הוועדה המארגנת של האולימפיאדה, כך התברר, לא הייתה הקורבן היחיד של המשחתת האולימפית. על פי חברת הביטחון הרוסית קספרסקי, מתקפת הסייבר השפיעה גם על יעדים אחרים הקשורים לאולימפיאדה, בהם אטוס, ספקית שירותי IT בצרפת שתמכה באירוע, ושני אתרי סקי בפיאונגצ'אנג. אחד מהמקומות הללו נדבק באורח קשה עד כי המעליות נחסמו באופן זמני.

בימים שלאחר הפיגוע במהלך טקס הפתיחה של המשחקים, הצליח צוות המחקר והניתוח העולמי של קספרסקי להשיג עותק של תוכנת הזדון המשחתת האולימפית מאחד מאתרי הסקי והחל לנתח אותו באופן שונה מ נעשה על ידי סיסקו ואינטזר. הוא ניתח את "הכותרת" שלו, חלק מהמטא-נתונים של הקובץ הכולל רמזים לאילו סוגי כלי תכנות שימשו לכתיבתו. על ידי השוואה של כותרת זו עם דגימות תוכנות זדוניות אחרות, הם מצאו התאמה מושלמת לשיטת מחיקת הנתונים ששימשה את האקרים הצפון-קוריאנים לזרוס, אותה אחת שסיסקו כבר ציינה. נראה כי התיאוריה של צפון קוריאה אושרה.
אך חוקר בכיר בספרסקי בשם איגור Soumenkov החליט לעשות משהו אחר. Soumenkov היה ידוע כילד פלא פריטי אתי, וגויס לצוות המחקר של קספרסקי מגיל צעיר מאוד, מכיוון שהיה לו ידע עמוק במיוחד בכותרות התיקים. אז הוא החליט לבדוק שוב את ממצאי חבריו.

Soumenkov בחן את הקוד וקבע כי מטא נתונים של הכותרת אין שום קשר לקוד התוכנה הזדונית; התוכנה הזדונית לא נכתבה עם כלי התכנות המקושרים בדרך כלל לכותרת העליונה. בסופו של דבר המטא נתונים ייצגו זיוף.
זה היה משהו שונה מכל הסימנים האחרים של עקבות הצד שמצאו החוקרים עד כה. למעשה, עד אז איש לא הצליח לומר בוודאות אילו רמזים הם אמיתיים ואילו לא. אולם כעת, כשהוא נכנס לקפלים האמיתיים של הקוד והמטא נתונים, מצא Soumenkov אחד כזה דגל שקר, ההונאה האמיתית. כעת היה ברור שמישהו ניסה לוודא שאפשר לייחס את התוכנה הזדונית לצפון קוריאה וכי זה היה כמעט מוצלח אך בזכות בדיקת המשולש המדוקדקת של קספרסקי, ההונאה עלתה לאור.

מצד שני, היה ברור גם שהקוד לא ניתן לייחס לסין מכיוון שככלל, הקוד הסיני ניתן לזהות מאוד וזה היה שונה מאוד.

אז מה? אם לא סין, אם לא צפון קוריאה, אז מי?

כמה חודשים אחר כך, בחדר ישיבות של קספרסקי, שהתמודד עם שאלה זו, שלף סומנקוב סט קוביות משקית בד שחורה קטנה. משני צידי הקוביות השחורות הקטנות נכתבו מילים כמו אנונימי, פושעי סייבר, האקטיוויסטים, ארצות הברית, סין, רוסיה, אוקראינה, טרוריסטים, איראן. אלה היו קוביות הייחוס המפורסמות.

קספרסקי, כמו חברות אבטחה רבות אחרות, משתמש במדיניות קפדנית שמשפיעה רק על היכולת להפסיק פיגועי האקרים מבלי להזכיר את המדינה או הממשלה שמאחוריה ההתקפה עצמה עשויה להיות. אך מה שמכונה הייחוס למות שסומנקוב אחז בידו ייצג, כמובן, את החוצפה של בעיית הייחוס וזה "ששום התקפת סייבר לא תוכל באמת לייחס למקורה, וכל מי שמנסה הוא פשוט אחד מניח. "

מייקל מטוניס עבד מביתו כשהחל למשוך את החוטים שיפרקו את תעלומת המשחתת האולימפית. הפאנק האקס אנרכיסטי בן ה -28 הפך לחוקר האבטחה עדיין לא היה שולחן במשרדו של FireEye. אז כאשר מטוניס החל לבחון את התוכנות הזדוניות שהשפיעו על פיונגצ'אנג, הוא ישב במרחב העבודה המאולתר שלו: כסא מתכת מתקפל כשהמחשב הנייד שלו מונח על שולחן פלסטיק.

בגחמה, מטוניס החליט לנסות גישה שונה לחלוטין מאלה שניתחו אותה עד אז. הוא לא חיפש רמזים בקוד התוכנה הזדונית, אך החל לבחון מרכיב בנאלי בהרבה במבצע: מסמך וורד מזויף, זדוני, ששימש את הצעד הראשון במסע החבלה הכמעט אסון של טקס הפתיחה.

המסמך, שנראה כי הוא מכיל רשימת נציגי VIP למשחקים, נשלח ככל הנראה לדוא"ל לצוות האולימפיאדה כקובץ מצורף. אם מישהו היה פותח את הקובץ המצורף הזה, היה מופעל סקריפט זדוני שהיה מתקין דלת אחורית במחשב האישי שלהם, ומציע להאקרים את דריסת הרגל הראשונה שלהם ברשת היעד. כאשר Matonis שלף את המסמך מ- VirusTotal, הוא ראה כי הפיתיון כנראה נשלח לסגל האולימפיאדה בסוף נובמבר 2017, יותר מחודשיים לפני תחילת המשחקים. ההאקרים נכנסו לרשת האולימפית, אם כן, מספר חודשים קודם לכן כדי לעורר את התקפתם.

מטוניס ניסה למצוא התכתבויות עם אותו מדגם של קוד על ידי ניתוח המסמכים שנמצאים ב- VirusTotal ובמאגרי FireEye. במהלך סריקה ראשונה הוא לא מצא דבר אך מטוניס הבחין, עם זאת, כי כמה עשרות מסמכים הנגועים בתוכנות זדוניות ומצויים בארכיונים, תואמים בערך את המאפיינים של הקובץ שלו: פקודות מאקרו של Word שנבנו כדי להפעיל פקודות Powershell. בהמשך לניתוח, בסופו של דבר, מצא Matonis כי הניסיון לייחד את הקבצים המקודדים היה במקום זאת, הפך את הקבצים הללו לקבוצה המוכרת היטב. עד מהרה הוא גילה שמאחורי דור הקבצים הזדוניים הללו, קיים כלי מקוון זמין בקלות בשם "מחולל מקרו זדוני".

מטוניס השערה כי ההאקרים בחרו בתוכנית כדי לבלבל את עצמם עם מחברי תוכנות זדוניות אחרות, אך בסופו של דבר הם השיגו את האפקט ההפוך. בנוסף, הוא הבחין כי קבוצת המאקרואים הזדוניים אוחדה בשמות הכותבים שהוצאו מהמטא נתונים. רובם נכתבו על ידי מישהו בשם "AV", "BD" או "ג'ון".

מבין התיקים שניתחו, מצא מטוניס שני מסמכי פיתיון נוספים שהתקיימו בשנת 2017 ונראו כיוונו לקבוצות פעילים להט"בים אוקראינים, תוך שימוש בתיקים נגועים מארגונים מזויפים שנלחמים למען זכויות הומואים. עם זאת, אחרים פנו לחברות אוקראיניות ולסוכנויות ממשלתיות.

זה, עבור מטוניס, היה טריטוריה מוכרת: במשך יותר משנתיים הוא ראה את רוסיה פותחת בסדרת פעולות פריצה הרסניות נגד אוקראינה, מלחמת סייבר בלתי נלאה שליוותה את הפלישה לרוסיה לאחר מהפכתה מערב 2014.

אף על פי שהמלחמה הפיזית ההיא הרג 13.000 בני אדם באוקראינה ועקרה ממיליוני אנשים, קבוצת האקרים רוסית המכונה תולעת חול ערכה אמצעי סייבר ממשיים נגד אוקראינה: היא חסמה חברות אוקראיניות, סוכנויות ממשלתיות ורכבות. , ושדות תעופה עם גלי חדירות שהרסו כמות עצומה של נתונים, כולל שתי הפרות חסרות תקדים של שירותי החשמל האוקראינים בשנת 2015 ובשנת 2016 שגרמו להפסקות חשמל של מאות אלפי אנשים. התקפות אלה הגיעו לשיאן ב- NotPetya, תוכנה זדונית שהתפשטה במהירות מעבר לגבולות אוקראינה ובסופו של דבר גרמה נזק של 10 מיליארד דולר לרשתות העולמיות - מתקפת הסייבר היקרה ביותר בהיסטוריה.

באותה נקודה, בראשו של מטוניס, נפלו כל החשודים האחרים למתקפה האולימפית. מטוניס עדיין לא יכול היה לקשר את ההתקפה לקבוצה מסוימת של האקרים, אך רק מדינה אחת הייתה מכוונת לאוקראינה כמעט שנה לפני הפיגוע בפיונגצ'אנג, תוך שימוש באותה תשתית בה השתמשה בהמשך לפריצת הוועדה המארגנת. של האולימפיאדה, וזה לא היה סין או צפון קוריאה.

למרבה הפלא, נראה היה כי מסמכים נגועים אחרים שבידי מטוניס, היו כקרבנות עולם הנדל"ן והמסחר הרוסי. האם צוות האקרים רוסי הוטל על ריגול על כמה אוליגרכים רוסים מטעם אדוני המודיעין שלהם?

בלי קשר, מטוניס חצה סוף סוף את קו הסיום בכך שהוא מצא מי עומד מאחורי מתקפת הסייבר באולימפיאדת 2018: הקרמלין.

"פרשת המשחתת האולימפית הייתה הפעם הראשונה שמישהו השתמש בה דגלים שווא במתקפה משמעותית ורלוונטית לביטחון הלאומי וייצג טעם של איך יכולים להיות סכסוכי העתיד. "

עדיין יש הרבה מה לומר, אבל אני חושב שהדבר הטוב ביותר הוא לבזבז זמן בקריאת "תולעת החול" של אנדי גרינברג, שכאמור בתחילת הדרך היה המקור לכתוב את הסיפור הזה ולהבין, יותר ויותר, שהוא יש צורך להרחיב את המבט של כל אחד מאיתנו ולנתח אירועי ביטחון במלואם כדי להבין מה באמת עומד מאחורי מה שנראה כי ככל הנראה מתקפות מנותקות זו מזו.

הביטחון שלנו עובר תמיד דרך הרצון שלנו ללמוד ולהבין את האירועים לעומק, ולקחת משפט של ברנרד ברוך: מיליונים ראו את התפוח נופל, אבל ניוטון היה זה שתהה מדוע.

מקורות אחרים: הסיפור הבלתי-מסופר של NotPetya, מתקפת הסייבר ההרסנית ביותר בהיסטוריה