zurück zum Artikel

Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

Fabian A. Scherschel
Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

Eröffnungsfeier der Olympischen Spiele in Pyeongchang

(Bild: railway fx/Shutterstock.com)

Der Angriff auf die IT-Infrastruktur der Olympischen Spiele in Pyeongchang war wohl nur eine Übung darin, anderen einen Cyberangriff in die Schuhe zu schieben. Das jedenfalls legen neue Erkenntnisse von Forschern nahe, die Zugang zu der Malware hatten.

WĂ€hrend der Eröffnungsfeier der Olympischen Spiele in SĂŒdkorea kam es zu einem Angriff auf die Infrastruktur der Veranstalter [1]. Wurden zunĂ€chst Angreifer aus Nordkorea verdĂ€chtigt, ging man zwei Wochen spĂ€ter, basierend auf Angaben von US-Geheimdienstmitarbeitern, von Angreifern aus Russland aus [2]. Als Motiv wurde Rache fĂŒr den Ausschluss russischer Athleten nach DopingvorwĂŒrfen vermutet. Mitte Februar veröffentlichte die zu Cisco gehörige Talos Group schließlich eine Analyse der Malware "Olympic Destroyer" [3], die diese mit der Hackergruppe Lazarus [4] in Verbindung brachte. Im Umfeld dieser Gruppe liegt vieles im Verborgenen, Sicherheitsforscher brachten sie aber in der Vergangenheit immer wieder mit Nordkorea in Verbindung – die Gruppe soll unter anderem fĂŒr den Sony-Pictures-Hack [5] verantwortlich sein. Neue Veröffentlichungen von Sicherheitsforschern der Firma Kaspersky deuten allerdings darauf hin, dass nichts von alledem stimmt.

Wer war es denn nun?

Kaspersky war frĂŒh an Untersuchungen der Angriffe beteiligt [6], hielt sich aber nach eigenen Angaben mit öffentlichen Aussagen zurĂŒck, da man Spuren von einem Kunden erhalten hatte, der keine Aufmerksamkeit auf sich ziehen wollte. Kaspersky sagt auch heute noch nicht, um welche Organisation es sich handelt, nur dass es ein Betreiber von Hotels und Skiresorts ist. Eines der Hotels des Kaspersky-Kunden befand sich zufĂ€llig ganz in der NĂ€he des Austragungsortes der Olympischen Spiele. Es wurde wĂ€hrend des Angriffs mit Malware infiziert, die unter anderem die Server lahmlegte, die den Zugang zu Ski-Liften des Resorts regeln.

Vergleich von Code-Fragmenten von Malware der Lazarus-Gruppe (links) und von Olympic Destroyer (rechts).

Vergleich von Code-Fragmenten von Malware der Lazarus-Gruppe (links) und von Olympic Destroyer (rechts).

(Bild: Kaspersky Lab)

In seiner Untersuchung der Malware musste Kaspersky feststellen, dass sie wohl explizit dazu geschrieben wurde, um falsche FĂ€hrten zu legen. Laut Kaspersky handelt es sich eindeutig um eine "False Flag" – soll heißen, die wahren Angreifer wollen den publikumswirksamen Angriff auf die Spiele anderen in die Schuhe schieben. Kaspersky hat nach eigenen Angaben an mehreren Stellen der Malware deutliche Hinweise darauf gefunden, dass der Code an Hand bekannter Beispiele der Arbeit anderer Hackergruppen so angepasst wurde, dass er wie das Werk dieser Gruppen wirkt. Die Kaspersky-Forscher gehen so weit zu postulieren, dass ein Hauptziel des Angriffs das Verwirren von Sicherheitsforschern und legen falscher FĂ€hrten war.

"Attribution Hell"

Bei der Malware, die Kaspersky in der Infrastruktur des Hotels und beim IT-Dienstleister der Olympischen Spiele, der französischen Firma Atos, gefunden hat, handelt es sich um einen raffinierten Wurm, der vollautomatisch Netzwerke sabotieren kann. Einmal losgelassen, sammelt er auf befallenen Systemen Anmelde-Credentials, baut mit ihnen eine bessere Version der Malware, die weiter TĂŒren öffnen kann, und verteilt diese weiter im Netzwerk. Dann löscht er Daten auf dem befallenen System und macht es unbrauchbar – hauptsĂ€chlich um Chaos zu stiften.

Olympic Destroyer (oben) im Vergleich mit NotPetya (unten)

Olympic Destroyer (oben) im Vergleich mit NotPetya (unten)

(Bild: Kaspersky Lab)

Der Wurm enthĂ€lt viele Code-Fragmente, die offensichtlich anderer, bereits bekannter Malware Ă€hnelt. Etwa Lösch-Routinen, die offenbar aus Malware der Lazarus-Gruppe stammen, und Code, der die Restore-Funktion von Windows aushebelt und Teilen des NotPetya-Trojaners [7] ĂŒberraschend Ă€hnlich sieht. Die Kaspersky-Forscher bezeichnen ihre Untersuchung pathetisch als "attribution hell" und meinen damit, die Zuordnung des Schadcodes zu der einen oder anderen bekannten Hackergruppe sei die Hölle gewesen. Auch Talos hat seine Vermutung, es habe sich beim Urheber um die Lazarus-Gruppe gehandelt, bereits wieder zurĂŒckgezogen [8].

Falsche FĂ€hrten sind nichts Neues

Offenbar haben die Autoren der Spionage-Werkzeuge viel Zeit und MĂŒhe darauf verwendet, spezifische Eigenschaften der Tools und Vorgehensweisen anderer Spionagegruppen nachzubauen. Erst eine genauere Analyse des Schadcodes zeigte, dass diese spezifischen Eigenschaften keineswegs der Funktion der Tools dienten, sondern offenbar absichtlich dort platziert wurden. Laut Kaspersky, um eine falsche FĂ€hrte zu legen. Überhaupt hĂ€tten die Angreifer mit den vorhandenen Adminrechten auf Systemen tief in der olympischen Infrastruktur weitaus mehr und lĂ€nger anhaltenden Schaden anrichten können, als sie es tatsĂ€chlich getan haben.

Dass bei der Analyse von SpionagevorfĂ€llen mit falschen Spuren zu rechnen ist, war immer schon klar. So zĂ€hlt etwa Dr. Timo Steffens vom CERT-Bund im c't-Artikel "Hacker-Jagd im Cyberspace [9]" andere FĂ€lle auf, in denen die Hacker versuchten, Sicherheitsforscher gezielt in die Irre zu fĂŒhren. Wer letztlich hinter Olympic Destroyer steckt, ist nach wie vor ungewiss. Vielleicht war es ja eine False-Flag-Übung der vermutlich russischen Gruppe Sofacy (auch bekannt als Fancy Bear oder APT28), spekuliert Kaspersky. Doch wirklich festlegen wollen sich die Forscher da nicht. Ihr Fazit: Man sollte nach derartigen Angriffen nicht sofort mit dem Finger auf bestimmte LĂ€nder zeigen, sondern lieber erst mal in Ruhe nachforschen. Eine solche Analyse erfordert Zeit und Sorgfalt – vielleicht mehr, als sich manche Sicherheitsforscher, Medien und Politiker im Nachgang eines spektakulĂ€ren Hacks nehmen. (fab [10])

URL dieses Artikels:
https://www.heise.de/-3989288

Links in diesem Artikel:

  1. https://www.heise.de/news/Olympische-Spiele-Cyberattacke-ging-moeglicherweise-von-Russland-aus-3978359.html
  2. https://www.heise.de/news/Olympische-Spiele-Cyberattacke-ging-moeglicherweise-von-Russland-aus-3978359.html
  3. http://blog.talosintelligence.com/2018/02/olympic-destroyer.html
  4. https://en.wikipedia.org/wiki/Lazarus_Group
  5. https://www.heise.de/news/Hacker-legen-Sony-Pictures-komplett-lahm-2462889.html
  6. https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
  7. https://www.heise.de/news/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html
  8. http://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html?m=1
  9. https://www.heise.de/ct/ausgabe/2017-14-Grundlagen-und-Grenzen-der-Suche-nach-den-Taetern-3747299.html
  10. mailto:contact@fab.industries

Copyright © 2018 Heise Medien