Olympic Destroyer: Wer steckt hinter dem Angriff auf die Olympischen Spiele?

12 Mrz 2018

Während der Olympischen Spiele stellten die teilnehmenden Länder ihre politischen Auseinandersetzungen erfreulicherweise in den Hintergrund. Dennoch begannen die Olympischen Winterspiele in Pyeongchang mit einem Skandal: Unbekannte Hacker attackierten Router und Server zur Übertragung der Eröffnungsfeier und zur Ausgabe von Besuchertickets, weshalb vielen Besuchern der Zutritt zur Eröffnungszeremonie verwehrt blieb.

Experts from Kaspersky Lab presented their study of the cyberattack on the 2018 Olympic Games at the Security Analyst Summit.

Die mit dem Namen Olympic Destroyer betitelte Malware, legte die offizielle Olympia-Website sowie das Wi-Fi-Netzwerk im Stadion lahm und beeinträchtigte somit die Übertragung des Events. Obwohl das Organisationskomitee versicherte, dass es keine ernsthafteren Folgen geben würde, handelte es sich bei dem Vorfall um eine ernst zu nehmende Angelegenheit. Was ist also genau passiert und wer steckte hinter dem Angriff?

So funktioniert die Malware Olympic Destroyer

Aufgrund des Ausbreitungsmechanismus kann man davon ausgehen, dass es sich beim Olympic Destroyer um einen Netzwerkwurm handelt. Unsere Experten entdeckten mindestens drei Launchpads, die zunächst infiziert und dann zur Verbreitung des Wurms genutzt worden waren: Dazu gehörten pyeongchang2018.com, Netzwerk-Server der Skigebiete und Server des IT-Dienstleisters Atos.

Über diese Plattformen wurde der Wurm automatisch im Netzwerk über Windows-Netzwerkfreigaben verbreitet. Nebenbei entwendete er Passwörter, die auf den infizierten Computern gespeichert waren, nahm diese in sich auf und nutzte sie zur anschließenden Verbreitung. Das ultimative Ziel des Olympic Destroyers bestand darin, Dateien von Netzlaufwerken zu entfernen und die infizierten Systeme lahm zu legen.

Wer steckte dahinter?

Journalisten und Blogger verbreiteten ununterbrochen Gerüchte darüber, wer hinter dem Angriff gesteckt haben könnte und warum. Dazu sollte gesagt sein, dass Nordkorea bereits vor Beginn der Spiele als verdächtig galt, da Nordkoreaner angeblich die Computer des Organisationskomitees ausspioniert hatten.

Nach den Nordkoreanern viel der Verdacht (wie soll es auch anders sein) auf die Russen: Schließlich durften nur ausgewählte Angehörige der russischen Mannschaft unter äußerst strengen Auflagen bei den Spielen antreten; zudem wurde die Nationalflagge verboten. Als die Ermittler allerdings Ähnlichkeiten zwischen dem Olympic Destroyer und einer von chinesischen Cyberkriminellen entwickelten Malware aufdeckten, stand mit einem Mal China unter Verdacht.

Kaspersky Lab stellt eigene Untersuchungen an

Während die Öffentlichkeit munter spekulierte, suchten Cyber-Sicherheitsexperten weiter nach Beweismaterial. Auch Kaspersky Lab führte eigene Untersuchungen durch.

Genau wie viele andere, vermuteten auch unsere Experten zunächst nordkoreanische Cyberkriminelle hinter dem Angriff auf Olympia; als besonders verdächtig galt hier die Lazarus-Gruppe. Nachdem unsere Experten ein Sample des Olympic Destroyers analysiert hatten, fanden die Forscher eine Reihe digitaler Fingerabdrücke, die zunächst auf Lazarus als Autor der Attacke hindeutete.

Je weiter unsere Experten allerdings mit der Untersuchung fortschritten, desto mehr Diskrepanzen fanden sie. Nach einer gründlichen Neubewertung aller gefundenen „Beweisstücke“ und einer detaillierten Analyse des Codes erkannten sie, dass es sich in Wirklichkeit um einen Hackerangriff unter falscher Flagge handelte.

Bei der Analyse des Olympic Destroyers, stießen unsere Experten darüber hinaus auf Hinweise, die auf einen völlig anderen Akteur hinweisen – nämlich auf die russische Hacker-Gruppe Sofacy (auch bekannt als APT28 und Fancy Bear). Wir können jedoch die Möglichkeit nicht ausschließen, dass es sich auch in diesem Fall um fälschliche Beweise handelt. Wenn es um hochkarätige Cyber-Spionage geht, kann man sich eben nie hundertprozentig sicher sein.