اكتشف الباحثون في شركة "كاسبرسكي لاب" المكلفون بتعقب البرامج الخبيثة "مدمر الأولمبياد" أن مجموعة القراصنة لا تزال نشطة. وقد اكتسبت شهرة في فبراير الماضي من خلال شل عملية افتتاح دورة بيونغ تشانغ للألعاب الأولمبية عن طريق حقن دودة مدمرة. ويبدو الآن أنها تستهدف ألمانيا وفرنسا وسويسرا وهولندا وأوكرانيا وروسيا، خاصة المنظمات المنخرطة في الحماية من التهديدات الكيميائية والبيولوجية.
في فبراير 2018، هاجمت البرامج الخبيثة "مدمر الأولمبياد" المنظمين والموردين والشركاء في الألعاب الأولمبية الشتوية التي جرت أطوارها في بيونج تشانج (كوريا الجنوبية) من خلال عملية سيبرانية باستخدام دودة شبكة شرسة بشكل خاص. كان مصدر الهجوم غير مؤكد لأن العديد من المؤشرات كانت تشير في اتجاهات مختلفة، مما تسبب في بعض الارتباك في صناعة المعلومات الأمنية. ووفقًا لبعض الإشارات القليلة والمتطورة التي اكتشفتها شركة "كاسبرسكي لاب"، يبدو أن مجموعة من قراصنة لازاريس المرتبطة بكوريا الشمالية كانت وراء العملية. لكن في شهر مارس ، أكدت الشركة أن الحملة لديها "علم زائف" متقن ومقنع للغاية، ومن غير المرجح أن يكون لازاريس هو المصدر.
يعرف الباحثون الآن أن عملية "مدمر الأولمبياد" على وشك العودة، وأن بعض أدوات التسلل والاستطلاع الأصلية تم استخدامها، وأن أعماله تركز على الأهداف الأوروبية.
تنشر المجموعة المسؤولة عن التهديد برمجياتها الخبيثة من خلال وثائق التصيد الاحتيالي التي تشبه إلى حد كبير الوثائق المصابة المستخدمة خلال العملية التي أجريت خلال الألعاب الأولمبية الشتوية. ومن بين هذه الإغراءات "Spiez Convergence»، وهي سلسلة من ورشات حول التهديدات الكيميائية الحيوية التي نظمها مختبر Spiez في سويسرا، والذي كان دوره في التحقيق في قضية Salisbury أمراً بالغ الأهمية. وأشارت وثيقة أخرى إلى كيان من هيئة التفتيش الصحية والبيطرية في أوكرانيا. بعض وثائق التصيد التي كشف عنها الباحثون تتضمن كلمات باللغة الروسية والألمانية.
وقد صممت جميع الحمولات النهائية التي تم استردادها من وثائق ضارة لتوفير وصول عام إلى أجهزة الكمبيوتر المصابة. تم استخدام إطار مفتوح المصدر، يُعرف على نطاق واسع باسم إمبراطورية Powershell، للمرحلة الثانية من الهجوم.
يبدو أن المهاجمين يستخدمون خوادم ويب مشروعة مصابة لاستضافة البرامج الضارة والتحكم فيها. تستخدم هذه الخوادم Joomla ، وهو نظام لإدارة المحتوى (CMS) متوفر في المصادر المفتوحة ويحظى بالتقدير. واكتشف الباحثون أن أحد الخوادم التي تستضيف الحمولة الضارة يستخدم نسخة من Joomla صدرت في نوفمبر 2011 (v1.7.3)، مما يوحي بأن متغيرًا قديمًا من CMS يمكن استخدامه في اختراق الخوادم.
على أساس بيانات القياس عن بعد والملفات التي تم تنزيلها إلى خدمات الماسح الضوئي متعددة الأبعاد، يبدو أن هذه الحملة الجديدة من مدمر الأولمبياد تستهدف الكيانات الموجودة في ألمانيا، فرنسا، سويسرا، هولندا، أوكرانيا وروسيا.
وصرح فيتالي كاملوك، باحث السلامة في فريق البحث والتحليل العالمي (GReAT)، كاسبرسكي لاب قائلا ""لقد غيّر ظهور مدمر الأولمبياد، وهو برنامج خبيث متطور للغاية، في بداية السنة، لعبة الإحالة إلى الأبد، وأظهر مدى سهولة ارتكاب خطأ باستخدام أجزاء الصور التي يمكن للباحثين رؤيتها فقط. ينبغي أن يقوم تحليل هذه التهديدات وردعها على التعاون بين القطاع الخاص والسلطات العامة خارج الحدود الوطنية. نأمل من خلال مشاركة النتائج التي توصلنا إليها، أن يتوفر الأشخاص المكلفين بالتدخل في حال في حالة وقوع حادث، والباحثين في مجال الأمن في المستقبل على مؤهلات وفرص أفضل للتعرف على هذا النوع من الهجمات ومواجهته في أي مرحلة. "
خلال الهجوم على الألعاب الأولمبية الشتوية، جرت بداية مرحلة الاستطلاع قبل بضعة أشهر من تفشي الدودة المدمرة وذاتية التدمير. من المحتمل جداً أن يقوم مدمر الأولمبياد بتحضير هجوم مماثل بأهداف جديدة. لهذا السبب ننصح المنظمات البحثية المتخصصة في التهديدات البيولوجية والكيميائية بالبقاء في حالة تأهب وإجراء تدقيق السلامة غير المخطط له.
تعمل منتجات كاسبرسكي لاب على اكتشاف ومنع بنجاح البرمجيات الخبيثة المتعلقة بمدمر الأولمبياد.
لمزيد من المعلومات حول عودة مدمر الأولمبياد، بما في ذلك مؤشرات التسوية ، يرجى قراءة مدونة Securelist.