Die unerzählte Geschichte des Cyber-Angriffs auf die Olympischen Spiele 2018

(Di Carlo Mauceli)
10

Am 1863. Januar XNUMX wurde Pierre De Coubertin geboren, der Mann, dem wir danken müssen, dass er die Olympischen Spiele wieder eingeführt hat. Seine edlen Absichten und Werte sind die Essenz des Sports, aber leider wurden und werden sie heute immer wieder verraten.

Warum sind wir nach so vielen Jahren immer noch so fasziniert von den Olympischen Spielen?

Die Olympischen Spiele geben nicht nur allen Sportarten Sichtbarkeit und symbolisieren die Vereinigung der Völker in schwierigen Zeiten, sondern stehen auch für Kontinuität mit unseren Ursprüngen. Die fünf Kreise werden in der Tat als ein roter Faden angesehen, der vom alten Griechenland bis ins XNUMX. Jahrhundert reicht. Ein Kontaktpunkt zwischen uns und unseren Wurzeln. Nationen ändern sich, Münzen, Bräuche und Bräuche ändern sich, aber der Mensch bleibt immer der Protagonist.

Angesichts der Tatsache, dass sich die Welt des Sports zunehmend an wirtschaftlichen Interessen auf Kosten der Leidenschaft orientiert, ist es kein Wunder, dass in jüngster Zeit eine Geschichte auftaucht, in der erklärt wird, dass heutzutage nichts als sicher angesehen werden kann und alles ein Ziel für diejenigen darstellen kann, die zunehmend Oft werden sie von verschiedenen Staaten angeheuert und finanziert und verursachen Turbulenzen, um soziale, politische und wirtschaftliche Veränderungen herbeizuführen, die sie begünstigen können.

Aus dem Buch Sandworm von Andy Greenberg entnommen, zeichnet dieser Artikel die Geschichte des Cyber-Angriffs nach, der am Vorabend der Olympischen Winterspiele 2018 stattfand. eine Geschichte, die schweigend vergangen ist und von der nur sehr wenig bekannt ist, für die jedoch eines der auffälligsten Beispiele ist Cyberwar der Geschichte.

Kurz vor 20:00 Uhr am 9. Februar 2018 saß Sang-jin Oh in den nordöstlichen Bergen Südkoreas ein paar Dutzend Reihen vom Boden des riesigen fünfeckigen Olympiastadions in Pyeongchang entfernt auf einem Stuhl. Er trug eine offizielle olympische Jacke in Grau und Rot, die ihn trotz des fast eiskalten Wetters warm hielt, und sein Platz hinter dem Pressebereich war perfekt, um einen klaren und vollständigen Blick auf die Hoch- und Rundbühne von ein paar hundert Personen zu haben Meter vor ihm. Die Eröffnungsfeier der Olympischen Winterspiele 2018 stand vor der Tür.

Als sich die Lichter um die freigelegte Struktur des Stadions schlängelten, wurde das Warten durch das Getümmel von über 35.000 Menschen unterbrochen und die Show war fantastisch. Es war offensichtlich, dass nur wenige Menschen das Warten intensiver lebten als er. Der 47-jährige Beamte war mehr als drei Jahre lang für die technologische Infrastruktur des Organisationskomitees der Olympischen Spiele in Pyeongchang verantwortlich. Er überwachte den Aufbau einer IT-Infrastruktur für Spiele mit mehr als 10.000 PCs, 20.000 Mobilgeräten, 6.300 WLAN-Routern und 300 Servern in zwei Rechenzentren in Seoul.

Diese Infrastruktur funktionierte perfekt oder zumindest schien es so weit. Tatsächlich hatte er vor einer halben Stunde von einem ärgerlichen technischen Problem gehört. Die Ursache für dieses Problem war ein IT-Unternehmen, von dem für die Olympischen Spiele weitere hundert Server gemietet worden waren. Und es war klar, dass diese Nachricht eine halbe Stunde nach der Amtseinführung etwas Unerträgliches war, zumal er die Augen der ganzen Welt auf sich gezogen hatte.
Die Datenzentren in Seoul meldeten jedoch keinerlei Fehlfunktionen, und das Oh-Team war der Ansicht, dass die Probleme beherrschbar waren. Er wusste immer noch nicht, dass Stadionkarten nicht gedruckt werden konnten. Also hatte er sich an seinem Platz niedergelassen und war bereit, dieses Ereignis zu genießen, das mit Sicherheit der wichtigste Moment seiner Karriere war.

Zehn Sekunden vor 20 begannen die Countdown-Zahlen nacheinander zu erscheinen, während ein Chor von Kinderstimmen den Countdown auf Koreanisch kennzeichnete:
"Schluck! ... Gu! ... Freund! ... Chil!

Während des Countdowns hellte sich Ohs Telefon plötzlich auf. Er sah nach unten und sah eine Nachricht auf KakaoTalk, eine beliebte koreanische Messaging-App. Die Nachricht war die schlimmste Nachricht, die Oh damals hätte erhalten können: „Es gab etwas oder jemanden, der alles ausschaltete Domänencontroller in den Rechenzentren von Seoul, dh den Servern, die das Rückgrat der IT-Infrastruktur der Olympischen Spiele bildeten ".

Sobald die Eröffnungsfeier begann, explodierten Tausende von Feuerwerkskörpern rund um das Stadion, und Dutzende koreanischer Puppen und Tänzer betraten die Bühne. Oh, aber er sah nichts davon. Tatsächlich schickte er wütende Nachrichten an seine Mitarbeiter, die hilflos beobachteten, wie ihre gesamte IT-Infrastruktur unerbittlich heruntergefahren wurde. Bald stellte er fest, dass das, was die Partnerfirma gemeldet hatte, kein einfaches technisches Problem war. Es war das erste Anzeichen eines anhaltenden Angriffs gewesen. Es war jetzt klar, dass er sein technologisches Operationszentrum erreichen musste.

Als Oh den Ausgang des Stadions aus dem Pressebereich erreichte, hatten Reporter um ihn herum bereits angefangen, sich über die Funktionsstörung von Wi-Fi zu beklagen. Tausende mit dem Internet verbundene Fernsehgeräte, die die Zeremonie rund um das Stadion und in 12 anderen olympischen Austragungsorten zeigten, waren schwarz geworden. Alle RFID-basierten Sicherheitseingänge, die den Zugang zu jedem olympischen Gebäude ermöglichten, waren inaktiv. Die offizielle Olympia-App, einschließlich der Funktion für digitales Ticketing, war ebenfalls außer Betrieb.

Das Organisationskomitee von Pyeongchang hatte sich jedoch auf ähnliche Situationen vorbereitet. Sein Cyber-Sicherheitsteam hatte sich seit 20 2015 Mal getroffen. Im Sommer des Vorjahres hatten sie Übungen durchgeführt, um Katastrophen wie Cyber-Angriffe, Brände und Erdbeben zu simulieren. Aber jetzt, da sich eines dieser Albtraumszenarien entwickelt hatte, war das Gefühl für Oh sowohl verrückt als auch surreal. "Es ist tatsächlich passiert", dachte Oh, als wollte ich das Gefühl abschütteln, dass es nur ein böser Traum war.

Sobald Oh seinen Weg durch die Menge gefunden hatte, rannte er zum Ausgang des Stadions und in die kalte Nachtluft, wo sich ihm zwei weitere IT-Mitarbeiter anschlossen. Sie stiegen in einen Hyundai-SUV und fuhren die längste 45-minütige Fahrt ihres Lebens, um die Küstenstadt Gangneung zu erreichen, in der sich das Technologie-Operationszentrum der Olympischen Spiele befand.

Vom Auto aus rief Oh die im Stadion anwesenden Mitarbeiter an und forderte sie auf, WLAN-Hotspots an Reporter zu verteilen und die Sicherheit zu bitten, die Ausweise manuell zu überprüfen, da alle RFID-Systeme außer Betrieb waren. Dies war jedoch die geringste Sorge. Oh, er wusste, dass in ungefähr zwei Stunden die Eröffnungszeremonie enden würde und Zehntausende von Athleten, Besuchern und Zuschauern feststellen würden, dass sie keine Wi-Fi-Verbindung und keinen Zugang zur Olympics-App hatten, voll mit Terminen und Informationen über Hotels und Karten. Das Ergebnis wäre demütigend gewesen. Wäre es ihnen nicht gelungen, die Server am nächsten Morgen zum Laufen zu bringen, wäre das gesamte IT-Backend des Organisationskomitees, das für alles zuständig ist, von Mahlzeiten über Hotelreservierungen bis hin zum Event-Ticketing, während der Spiele offline geblieben voller Schwung. Das größte technologische Fiasko der Geschichte in einem der technologisch fortschrittlichsten Länder der Welt zeichnete sich ab.

Oh kam um 21 Uhr mitten in der Eröffnungsfeier im Gangneung Technology Operations Center an. Das Zentrum bestand aus einem großen offenen Raum mit Schreibtischen und Computern für 150 Angestellte; Eine ganze Wand war mit Bildschirmen bedeckt. Als er eintrat, standen viele der Angestellten zusammen und diskutierten gespannt, wie sie auf den Angriff reagieren sollten. Das Problem wurde auch durch die Tatsache verschärft, dass grundlegende Dienste wie E-Mail und Messaging offline waren.

Alle neun Domänencontroller, die die Authentifizierung gesteuert haben, wurden deaktiviert, sodass auf Ressourcen nicht zugegriffen werden konnte. Das Personal hatte sich für eine vorübergehende Lösung entschieden, nämlich die so genannten Dead Gatekeeper-Maschinen zu umgehen, indem ein direkter Zugriff auf alle überlebenden Server eingerichtet wurde, die einige grundlegende Dienste wie Wi-Fi und mit dem Internet verbundene Fernseher versorgten. Auf diese Weise gelang es ihnen, diese Dienste einige Minuten vor dem Ende der Zeremonie wieder online zu stellen.

Bei dem Versuch, die Domänencontroller neu zu erstellen, um ein besseres und sichereres Netzwerk zu erstellen, stellten die Techniker in den nächsten zwei Stunden fest, dass die Dienste wie im Maulwurfspiel viel schneller gestoppt wurden, als sie wiederherstellen konnten. Offensichtliches Zeichen für die Präsenz einer Person im Netz.

Ein paar Minuten vor Mitternacht Oh, und seine Systemadministratoren entschieden widerwillig eine verzweifelte Maßnahme: Sie würden das gesamte Netzwerk vom Internet trennen, um es von den Angreifern zu isolieren, da klar war, dass sie sich dank der Befehls- und Kontrollkanäle darin bewegen konnten sie hatten realisiert. Das bedeutete natürlich, jeden Dienst zu unterbrechen, auch die öffentliche Olympiade-Website. Andererseits wäre es der einzige Weg gewesen, eine Infektion auszurotten.

Für den Rest der Nacht arbeiteten Oh und seine Mitarbeiter fieberhaft daran, das "digitale Nervensystem" der Olympischen Spiele wieder aufzubauen. Um fünf Uhr morgens hatte es ein koreanischer Sicherheitspartner, AhnLab, geschafft, eine Antivirensignatur zu erstellen, die Ohs Mitarbeitern helfen könnte, Malware auf den Tausenden von PCs und Servern im Netzwerk zu stoppen, die infiziert worden waren.

Um 6:30 Uhr setzen die Systemadministratoren die Mitarbeiterpasswörter zurück, in der Hoffnung, den Zugriff auf Hacker zu blockieren. Kurz vor 8 Uhr morgens, fast genau 12 Stunden nach Beginn des Cyberangriffs auf die Olympischen Spiele, beendeten Oh und seine schlaflosen Mitarbeiter die Wiederherstellung ihrer Server aus Backups und begannen mit dem Neustart der Dienste.

Überraschenderweise hat alles funktioniert und insgesamt war der schlechte Service minimal. Ein Journalist aus der Boston GlobeSpäter nannte er die Spiele "makellos organisiert". Tausende von Athleten und Millionen von Zuschauern waren sich der Tatsache nicht bewusst, dass die Mitarbeiter der Olympischen Spiele die Nacht damit verbracht hatten, gegen einen unsichtbaren Feind zu kämpfen, der drohte, die gesamte Veranstaltung ins Chaos zu stürzen.
Ein paar Stunden nach dem Angriff kursierten jedoch in den Cybersecurity-Communities die ersten Gerüchte über die Probleme, die die Website der Olympischen Spiele, die Wi-Fi-Infrastruktur und verschiedene Anwendungen während der Eröffnungsfeier zum Absturz gebracht hatten. Zwei Tage nach der Zeremonie bestätigte das Organisationskomitee von Pyeongchang, dass es das Ziel eines Cyberangriffs war, weigerte sich jedoch zu äußern, wer hinter diesem Angriff gestanden haben könnte.

Der Unfall wurde sofort zu einem internationalen Fall. Wer hätte es gewagt, einen Cyber-Angriff auf die digitale Infrastruktur der Olympischen Spiele durchzuführen?

Der Pyeongchang-Cyberangriff würde sich als die täuschendste Hacking-Operation in der Geschichte erweisen, bei der die raffiniertesten Mittel, die je gesehen wurden, eingesetzt wurden, um Forensiker bei der Suche nach den Tätern zu verwirren.

Die Schwierigkeit, die Quelle eines Angriffs zu beweisen, das sogenannte Attributionsproblem, hat die Cybersicherheit seit den Anfängen des Internets geplagt. Die anspruchsvollsten Hacker können ihre Verbindungen herstellen, indem sie kurvenreiche Routen ausnutzen und Sackgassen in die Routen einfügen, sodass es fast unmöglich ist, ihren Spuren zu folgen. Forensische Analysten haben jedoch gelernt, die Identität von Hackern auf andere Weise zu bestimmen, indem sie nach Hinweisen im Code, Infrastrukturverbindungen und politischen Motivationen gesucht haben.

In den letzten Jahren haben jedoch staatlich geförderte Cyberspies und Saboteure zunehmend mit einem anderen Trick experimentiert: dem Setzen sogenannter "falscher Flaggen". Diese Handlungen, die sowohl Sicherheitsanalysten als auch Techniker täuschen sollen, haben zu einfallsreichen Darstellungen der Identität von Hackern geführt, die schwer zu löschen sind, selbst nachdem die Regierungen die offiziellen Ergebnisse ihrer Geheimdienste bekannt gegeben haben. Natürlich hilft es nicht, dass diese offiziellen Ergebnisse oft, Wochen oder sogar Monate nach dem Angriff eintreten, aber das war's.
Zum Beispiel, als nordkoreanische Hacker die Sony Pictures Um die Veröffentlichung von "The Interview" zu verhindern, erfanden sie 2014 eine "hacktivistische" Gruppe namens "Guardians of Peace" und versuchten, die Ermittler durch eine vage Lösegeldforderung in die Irre zu führen. Selbst nachdem das FBI die Verantwortung für Nordkorea erklärt hatte und das Weiße Haus neue Sanktionen gegen Kims Regime zur Bestrafung verhängt hatte, argumentierten mehrere Sicherheitsfirmen weiterhin, dass der Angriff intern verursacht worden sein muss.

Als staatlich geförderte russische Hacker 2016 die E-Mails des Democratic National Committee und der Kampagne von Hillary Clinton gestohlen und veröffentlicht haben, wissen wir jetzt, dass der Kreml in ähnlicher Weise Geschichten erfunden hat, um andere zu vertuschen und abzulenken Verantwortung für diesen Angriff. Er erfand einen einzigen rumänischen Hacker namens Guccifer 2.0, um den Angriff auf einen später ermordeten Mitarbeiter namens Seth Rich zurückzuführen und Gerüchte zu verbreiten, der für das Versenden von E-Mails und das Verteilen von Dokumenten verantwortlich sei. über eine gefälschte Site namens DCLeaks gestohlen. Diese falschen Berichte oder Täuschungen wurden, wenn Sie so wollen, zu Verschwörungstheorien, die von rechten Anhängern und Präsidentschaftskandidaten Donald Trump benutzt und ausgenutzt wurden.

Auf diese Weise habe sich in den Institutionen eine Atmosphäre des Misstrauens herausgebildet, und diejenigen, die die falschen Thesen und Skeptiker unterstützten, hätten auch offensichtliche Hinweise abgelehnt, die zu einer so großen Verantwortung des Kremls geführt hätten, dass sogar eine gemeinsame Erklärung der US-Geheimdienste , die vier Monate später stattfand, die Russland die Verantwortung für den Angriff zuschrieb, konnte nicht mehr ändern, was gewöhnliche Menschen über den Vorfall dachten. Und selbst heute noch zeigt eine Umfrage der Wirtschaftswissenschaftler, dass etwa die Hälfte der Amerikaner glaubte, Russland mische sich in die Wahlen ein.

Mit der Malware bei den Olympischen Spielen in Pyeongchang hat die Kunst der digitalen Täuschung enorme Fortschritte gemacht. Die Ermittler hätten im Schadcode keinen einzigen gefunden falsche Flagge aber einige andere falsche Hinweise deuten auf mehrere mögliche Schuldige hin. Und einige dieser Hinweise wurden so tief verborgen, dass gesagt wurde, dass so etwas noch nie zuvor passiert ist.

Die geopolitischen Gründe für die olympischen Sabotagen waren von Anfang an alles andere als klar. Es ist bekannt, dass jeder Cyberangriff in Südkorea natürlich Nordkorea angelastet wird. Das sogenannte "Einsiedlerkönigreich" plagt die kapitalistischen Nachbarn seit Jahren mit Provokationen von Militär und Cyberkrieg auf niedriger Ebene. Am Vorabend der Olympischen Spiele die Analysten des Computersicherheitsunternehmens McAfee Sie warnten, dass koreanischsprachige Hacker die olympischen Organisatoren von Pyeongchang mit Phishing-E-Mails angriffen und dass Nordkorea für die Erstellung von Ad-hoc-Malware für die digitale Infrastruktur der Olympischen Spiele verantwortlich war.

In der öffentlichen Szene gab es jedoch widersprüchliche Anzeichen. Zu Beginn der Olympischen Spiele schien Nordkorea eine freundlichere Haltung einzunehmen. Der nordkoreanische Diktator Kim Jong-un hatte seine Schwester als diplomatische Botschafterin zu den Spielen geschickt und den südkoreanischen Präsidenten Moon Jae-in eingeladen, die nordkoreanische Hauptstadt Pjöngjang zu besuchen. Die beiden Länder hatten sogar die Idee ins Leben gerufen, mit einer einzigen Frauenhockeymannschaft an den Spielen teilzunehmen. Warum sollte Nordkorea mitten in den Spielen einen störenden Cyberangriff starten?

Dann war da noch Russland. Der Kreml hatte sein Motiv für einen Angriff auf Pyeongchang. Die Dopinguntersuchungen russischer Athleten hatten vor den Olympischen Spielen 2018 zu einem demütigenden Ergebnis geführt: Die Athleten hätten im Namen ihres Landes antreten dürfen, aber keine russischen Farben tragen oder Medaillen annehmen dürfen. Vor diesem Urteil hatte ein staatlich finanziertes russisches Hackerteam namens Fancy Bear jahrelang auf Dopingpraktiken reagiert, diese gestohlen und Daten durchgesickert. Russlands Exil nach den Spielen war genau die Art von Hebelwirkung, die den Kreml dazu anregen konnte, während der Eröffnungszeremonie einen disruptiven Angriff auszulösen. Wenn die russische Regierung die Olympischen Spiele nicht hätte genießen können, hätte das niemand getan.

Aber auch hier war es nicht so klar. Einige Tage vor der Eröffnungszeremonie hatte Russland jegliche Hacking-Aktivität im Zusammenhang mit den Olympischen Spielen bestritten. "Wir wissen, dass die westlichen Medien Pseudountersuchungen zum Thema" Russische Fingerabdrücke "planen, um Angriffe auf IT-Ressourcen im Zusammenhang mit der Ausrichtung der Olympischen Winterspiele in der Republik Korea zu hacken", sagte das russische Außenministerium Reuters Agentur. "Natürlich gibt es keine Beweise dafür."
Tatsächlich hätte es viele Beweise gegeben, die dazu geführt hätten, Russlands Verantwortung in Betracht zu ziehen. Das eigentliche Problem ist, dass es viele andere gab, die nach einem klassischen Täuschungsspiel das Gegenteil anzeigten.

Drei Tage nach der Eröffnungsfeier gab die Talos-Sicherheitsabteilung von Cisco bekannt, dass sie eine Kopie der für die Olympischen Spiele erstellten Malware erhalten und diese analysiert und analysiert hatte. Jemand vom Organisationskomitee der Olympischen Spiele oder vielleicht von der koreanischen Sicherheitsfirma AhnLab hatte den Schadcode tatsächlich auf VirusTotal hochgeladen. Das Unternehmen veröffentlichte die Ergebnisse der Analyse später in einem Blog-Post und gab der Malware den Namen Olympic Destroyer.

Im Prinzip erinnerte die Anatomie der Olympic Destroyer an zwei frühere russische Cyberangriffe: NotPetya und Bad Rabbit. Wie bei diesen früheren Angriffen verwendete Olympic Destroyer auch ein Tool für den Diebstahl von Anmeldeinformationen in Kombination mit den Windows-Remotezugriffsfunktionen, mit denen sich die Sicherheitsanfälligkeiten aufgrund fehlender Updates auf die verschiedenen Computer im Netzwerk verteilen konnten . Schließlich entfernte er mithilfe einer Datenvernichtungskomponente die Startkonfiguration von infizierten Computern, bevor alle Windows-Dienste deaktiviert und Computer heruntergefahren wurden, damit sie nicht neu gestartet werden konnten. Analysten der Sicherheitsfirma CrowdStrike sollen einen weiteren Code gefunden haben, der sich auf Russland bezog. Elemente, die einem Stück russischer Ransomware ähnelten, das als XData bekannt ist.

Trotzdem gab es keine Klarheit, da es hinsichtlich des Codes keine eindeutige Übereinstimmung zwischen Olympic Destroyer und früheren NotPetya- oder Bad Rabbit-Würmern zu geben schien, obwohl sie ähnliche Merkmale enthielten. Anscheinend waren sie höchstwahrscheinlich von Grund auf neu erstellt oder aus anderen Quellen kopiert worden.

Aus einer noch gründlicheren Analyse ging hervor, dass der Datenlöschteil von Olympic Destroyer dieselben Merkmale aufwies wie der Datenlöschcode, der nicht von Russland, sondern von der nordkoreanischen Hacker-Gruppe namens Lazarus verwendet wurde. Wenn Cisco-Forscher die logischen Strukturen der Datenlöschkomponenten nebeneinander stellten, schienen sie tatsächlich übereinzustimmen, wenn auch grob. Beide zerstörten Dateien auf dieselbe Weise: Löschen Sie nur die ersten 4.096 Bytes.

Man könnte also sagen, dass Nordkorea hinter dem Angriff steckt?

Es gab aber auch andere Spuren, die in ganz andere Richtungen führten. Das Sicherheitsunternehmen Intezer stellte fest, dass ein Teil des Codes zum Stehlen von Anmeldeinformationen und Passwörtern genau den gleichen Tools entsprach, die von einer Gruppe von Hackern namens APT3 verwendet wurden, einer Gruppe, die mehrere Cybersicherheitsunternehmen mit der chinesischen Regierung in Verbindung gebracht haben. Das Unternehmen konnte auch eine Komponente identifizieren, mit der Olympic Destroyer die Verschlüsselungsschlüssel generiert hatte, und sie einer weiteren Gruppe zuordnen, APT10, die ebenfalls mit China verbunden ist. Intezer wies darauf hin, dass die Verschlüsselungskomponente noch nie zuvor von anderen Hacking-Teams verwendet wurde. Russland? Nordkorea? China? Je weiter wir mit der Analyse der Malware fortfuhren, desto mehr Akteure tauchten am Horizont auf und auch alles schien äußerst widersprüchlich.

In der Tat schienen all diese Hinweise, wie erwähnt, sehr oft widersprüchlich, die Analysten nicht zu einer einzigen Antwort zu führen, sondern Verwirrung zu stiften und die Lösung des Rätsels extrem schwierig zu machen. Das Rätsel stellte die Ermittler auf die Probe, indem es eine Menge Zweifel aufkommen ließ. "Es war eine echte psychologische Kriegsführung, die sich an Analysten richtete", sagte Silas Cutler, ein Sicherheitsforscher, der zu der Zeit für CrowdStrike arbeitete.

Dieser Zweifel, genau wie die Auswirkungen der Sabotage bei den Olympischen Spielen, schien das eigentliche Ziel von Malware zu sein, sagte Craig Williams, ein Cisco-Forscher. "Selbst wenn ein solcher Angriff seine Mission erfüllt, ist die wahre Botschaft, die an die Sicherheitsgemeinschaft gesendet wird, offensichtlich", sagte Williams. "In einer Analyse eines Cyber-Angriffs ist es sehr schwierig, Verantwortung zuzuweisen, weil man immer in die Irre geführt werden kann." Und das ist in der Tat eine tiefe Wahrheit.

Es stellte sich heraus, dass das Organisationskomitee der Olympischen Spiele nicht das einzige Opfer von Olympic Destroyer war. Laut der russischen Sicherheitsfirma Kaspersky betraf der Cyberangriff auch andere Ziele im Zusammenhang mit den Olympischen Spielen, darunter Atos, ein IT-Dienstleister in Frankreich, der die Veranstaltung unterstützte, und zwei Skigebiete in Pyeongchang. Einer dieser Standorte war so stark infiziert, dass die Aufzüge vorübergehend gesperrt waren.

In den Tagen nach dem Angriff während der Eröffnungszeremonie der Spiele hatte das globale Forschungs- und Analyseteam von Kaspersky es geschafft, eine Kopie der Olympic Destroyer-Malware aus einem der Skigebiete zu erhalten und damit begonnen, sie anders als diese zu analysieren erledigt von Cisco und Intezer. Er hatte seinen "Header" analysiert, einen Teil der Metadaten der Datei, der Hinweise darauf enthielt, welche Arten von Programmierwerkzeugen zum Schreiben verwendet wurden. Durch den Vergleich dieses Headers mit anderen Malware-Beispielen fanden sie eine perfekte Übereinstimmung mit der Methode zum Löschen von Daten, die von den nordkoreanischen Hackern Lazarus verwendet wurden, die Cisco bereits angegeben hatte. Die nordkoreanische Theorie schien bestätigt zu sein.
Ein hochrangiger Kaspersky-Forscher namens Igor Soumenkov beschloss jedoch, etwas anderes zu tun. Soumenkov war bekanntermaßen ein ethisches Hacking-Wunderkind und wurde bereits in jungen Jahren in das Forschungsteam von Kaspersky aufgenommen, da er über außerordentlich tiefe Kenntnisse der Dateiköpfe verfügte. Also beschloss er, die Ergebnisse seiner Kollegen noch einmal zu überprüfen.

Soumenkov untersuchte den Code und stellte fest, dass die Header-Metadaten keine Beziehung zum Malware-Code hatten. Die Malware wurde nicht mit den Programmiertools geschrieben, die normalerweise mit dem Header verknüpft sind. Letztendlich stellten die Metadaten eine Fälschung dar.
Dies war etwas anderes als alle anderen Anzeichen von Ablenkung, die Forscher bisher festgestellt hatten. Tatsächlich hatte bis dahin niemand mit Sicherheit sagen können, welche Hinweise echt waren und welche nicht. Aber jetzt hatte Soumenkov, als er die wahren Falten des Codes und der Metadaten eingab, eine gefunden falsche Flagge, die sogenannte wahre Täuschung. Es war jetzt klar, dass jemand versucht hatte, sicherzustellen, dass die Malware Nordkorea zugeschrieben werden konnte und dass sie fast erfolgreich war, aber dank Kasperskys sorgfältiger dreifacher Überprüfung war die Täuschung ans Licht gekommen.

Andererseits wurde auch deutlich, dass der Code nicht China zuzurechnen war, da der chinesische Code in der Regel sehr gut erkennbar ist und dies grundlegend anders war.

Na und? Wenn nicht China, wenn nicht Nordkorea, wer dann?

Einige Monate später holte Soumenkov in einem Konferenzraum in Kaspersky, der sich dieser Frage stellte, eine Reihe von Würfeln aus einem kleinen schwarzen Stoffbeutel. Auf jeder Seite der kleinen schwarzen Würfel standen Worte wie Anonymous, Cybercriminals, Hacktivisti, USA, China, Russland, Ukraine, Cyberterroristen, Iran. Dies waren die berühmten Zuschreibungswürfel.

Kaspersky wendet wie viele andere Sicherheitsunternehmen eine strenge Richtlinie an, die sich nur auf die Fähigkeit auswirkt, Hackerangriffe zu stoppen, ohne jemals das Land oder die Regierung zu erwähnen, hinter denen der Angriff selbst stehen könnte. Die so genannten Zuschreibungswürfel, die Soumenkov in der Hand hielt, stellten offensichtlich eine Verärgerung des Zuschreibungsproblems dar: "Kein Cyberangriff kann jemals wirklich auf seine Quelle zurückgeführt werden, und jeder, der es versucht, ist einfach einer, der es versucht erraten. "

Michael Matonis arbeitete gerade von zu Hause aus, als er anfing, die Fäden zu ziehen, die das Geheimnis von Olympic Destroyer lüften würden. Der 28-jährige ehemalige anarchistische Punk, der zum Ermittler für Sicherheitsfragen wurde, hatte in FireEyes Büro noch keinen Schreibtisch. Als Matonis begann, die Malware zu untersuchen, von der Pyeongchang betroffen war, saß er in seinem improvisierten Arbeitsbereich: einem klappbaren Metallstuhl mit seinem Laptop auf einem Plastiktisch.

Aus einer Laune heraus beschloss Matonis, einen völlig anderen Ansatz zu wählen als diejenigen, die ihn bis dahin analysiert hatten. Er suchte nicht nach Hinweisen im Malware-Code, sondern untersuchte ein viel banaleres Element des Vorgangs: ein gefälschtes, böswilliges Word-Dokument, das als erster Schritt in der fast katastrophalen Sabotagekampagne der Eröffnungsfeier gedient hatte.

Das Dokument, das anscheinend eine Liste der VIP-Delegierten zu den Spielen enthielt, war wahrscheinlich als Anhang per E-Mail an die Mitarbeiter der Olympischen Spiele geschickt worden. Wenn jemand diesen Anhang geöffnet hätte, wäre ein böswilliges Skript ausgeführt worden, das eine Hintertür auf seinem PC installiert hätte und Hackern den ersten Schritt in das Zielnetzwerk ermöglicht hätte. Als Matonis das Dokument aus VirusTotal zog, stellte er fest, dass der Köder wahrscheinlich Ende November 2017, also mehr als zwei Monate vor Beginn der Spiele, an die Mitarbeiter der Olympischen Spiele geschickt worden war. Die Hacker waren deshalb einige Monate zuvor in das olympische Netzwerk eingedrungen, um ihren Angriff auszulösen.

Matonis hat versucht, Übereinstimmungen mit diesem Codebeispiel zu finden, indem die in VirusTotal und in den FireEye-Datenbanken vorhandenen Dokumente analysiert wurden. Bei einem ersten Scan stellte Matonis jedoch fest, dass einige Dutzend Dokumente, die mit Malware infiziert waren und in den Archiven vorhanden waren, in etwa den Merkmalen seiner Datei entsprachen: Word-Makros zum Starten von Powershell-Befehlen. Matonis setzte die Analyse fort und stellte am Ende fest, dass der Versuch, die codierten Dateien eindeutig zu machen, diese Dateien zu einer eindeutig erkennbaren Gruppe gemacht hatte. Er entdeckte bald, dass es hinter der Erzeugung dieser schädlichen Dateien ein leicht verfügbares Online-Tool namens "Malicious Macro Generator" gab.

Matonis spekulierte, dass die Hacker das Programm gewählt hatten, um sich mit anderen Malware-Autoren zu verwechseln, aber am Ende hatten sie den gegenteiligen Effekt erzielt. Außerdem bemerkte er, dass die Gruppe der böswilligen Makros durch die Namen der Autoren vereinigt war, die aus den Metadaten extrahiert wurden. Die meisten von ihnen wurden von jemandem mit dem Namen "AV", "BD" oder "John" geschrieben.

Unter den analysierten Dateien fand Matonis zwei weitere Köderdokumente aus dem Jahr 2017, die offenbar auf ukrainische LGBT-Aktivistengruppen abzielten und infizierte Dateien von gefälschten Organisationen verwendeten, die für die Rechte von Homosexuellen kämpften. Andere richteten sich jedoch gegen ukrainische Unternehmen und Regierungsbehörden.

Für Matonis war dies ein vertrautes Gebiet: Mehr als zwei Jahre lang hatte er Russland eine Reihe destruktiver Hacking-Operationen gegen die Ukraine gestartet, einen unerbittlichen Cyberkrieg, der die Invasion Russlands nach seiner Revolution begleitete westlichen 2014.

Obwohl dieser physische Krieg 13.000 Menschen in der Ukraine getötet und Millionen von Menschen vertrieben hatte, hatte eine russische Hackergruppe namens Sandworm einen echten Cyberkrieg gegen die Ukraine geführt: Sie hatte ukrainische Unternehmen, Regierungsbehörden und Eisenbahnen blockiert und Flughäfen mit Intrusionswellen, die eine große Menge an Daten zerstörten, darunter zwei beispiellose Verstöße gegen die ukrainischen Stromverbraucher in den Jahren 2015 und 2016, die zu Stromausfällen bei Hunderttausenden von Menschen geführt hatten. Diese Angriffe gipfelten in NotPetya, einer Malware, die sich schnell über die Grenzen der Ukraine hinaus ausbreitete und letztendlich globale Netzwerke mit einem Schaden von 10 Milliarden US-Dollar belastete - dem teuersten Cyberangriff der Geschichte.

Zu diesem Zeitpunkt fielen in Matonis 'Kopf alle anderen Verdächtigen für den olympischen Angriff. Matonis konnte den Angriff noch nicht mit einer bestimmten Gruppe von Hackern verknüpfen, aber nur ein Land würde die Ukraine fast ein Jahr vor dem Pyeongchang-Angriff angreifen und dieselbe Infrastruktur verwenden, die es später zum Hacken des Organisationskomitees verwenden würde. der Olympischen Spiele, und es war nicht China oder Nordkorea.

Seltsamerweise schienen andere infizierte Dokumente in Matonis Händen die russische Immobilien- und Geschäftswelt als Opfer zu haben. Wurde ein russisches Hackerteam beauftragt, einige russische Oligarchen im Auftrag ihrer Geheimdienstmeister auszuspionieren?

Ungeachtet dessen hatte Matonis endlich die Ziellinie überquert und herausgefunden, wer hinter dem Cyber-Angriff der Olympischen Spiele 2018 steckt: der Kreml.

"Der Olympic Destroyer Fall war das erste Mal, dass jemand ihn benutzt hat falsche Flaggen in einem bedeutenden und relevanten Angriff auf die nationale Sicherheit und repräsentierte einen Vorgeschmack darauf, wie die Konflikte der Zukunft sein könnten. "

Es gibt noch viel zu sagen, aber ich denke, das Beste ist, Zeit damit zu verbringen, Andy Greenbergs "Sandworm" zu lesen, der, wie eingangs erwähnt, die Quelle war, um diese Geschichte zu schreiben und zunehmend zu verstehen, dass dies der Fall ist Es ist notwendig, den Blick eines jeden von uns zu erweitern und Sicherheitsvorfälle umfassend zu analysieren, um zu verstehen, was wirklich hinter den scheinbar voneinander getrennten Angriffen steckt.

Unsere Sicherheit geht immer über unseren Wunsch, die Ereignisse gründlich zu studieren und zu verstehen und, um einen Satz von Bernard Baruch aufzugreifen: Millionen haben gesehen, wie der Apfel gefallen ist, aber Newton war derjenige, der sich fragte, warum.

Andere Quellen: Die unerzählte Geschichte von NotPetya, dem verheerendsten Cyberangriff in der Geschichte