1863 января XNUMX года родился Пьер Де Кубертен, человек, которому мы должны сказать спасибо за то, что вновь представили Олимпиаду. Его благородные намерения и ценности - это сущность спорта, но, к сожалению, они часто были и до сих пор постоянно предаются.
Почему после стольких лет мы все еще так очарованы Олимпийскими играми?
Олимпийские игры не только дают представление обо всех видах спорта и символизируют союз между народами в трудные времена, но и являются следствием нашего истоков. Пять кругов, по сути, воспринимаются как общая нить, которая начинается с древней Греции и продолжается до XNUMX-го века. Точка контакта между нами и нашими корнями. Меняются нации, меняются монеты, обычаи и обычаи, но главный герой всегда остается человеком.
Поскольку мир спорта все больше ориентируется на экономические интересы в ущерб страсти, неудивительно, что в последнее время появилась история, рассказывающая о том, что в наши дни ничто не может считаться безопасным, и все может представлять собой цель для тех, кто все чаще часто, нанятые и финансируемые различными государствами, они создают турбулентность для осуществления социальных, политических и экономических изменений, которые могут им способствовать.
В этой статье, взятой из книги Энди Гринберга «Песчаный червь», прослеживается история кибератаки, произошедшей накануне Зимних Олимпийских игр 2018 года; история, оставленная безмолвной, о которой известно очень мало, но которая представляет собой один из самых ярких примеров кибервойны истории.
Незадолго до 20:00 9 февраля 2018 года в северо-восточных горах Южной Кореи Санг Джин О спокойно сидел в кресле в нескольких десятках рядов от пола огромного пятиугольного олимпийского стадиона в Пхенчхане. На нем был официальный олимпийский пиджак, серый и красный, который сохранял его тепло, несмотря на почти морозную погоду, а его место за секцией прессы было идеальным для того, чтобы иметь четкий и полный обзор приподнятой и круглой сцены на несколько сотен метров перед ним. Церемония открытия зимних Олимпийских игр 2018 года должна была начаться.
Когда огни обвивали открытую структуру стадиона, ожидание было пропитано шумом более 35.000 47 человек, и шоу было фантастическим. Было очевидно, что немногие люди жили в ожидании более интенсивно, чем он. В течение более трех лет 10.000-летний государственный служащий отвечал за технологическую инфраструктуру организационного комитета Олимпийских игр в Пхенчхане. Он руководил настройкой ИТ-инфраструктуры для игр, которая включала более 20.000 6.300 ПК, 300 XNUMX мобильных устройств, XNUMX маршрутизаторов Wi-Fi и XNUMX серверов в двух дата-центрах, расположенных в Сеуле.
Эта инфраструктура работала отлично или, по крайней мере, так казалось. Фактически, полчаса назад, он слышал о раздражающей технической проблеме. Источником этой проблемы была ИТ-компания, у которой для Олимпиады было арендовано еще сто серверов. И было ясно, что через полчаса после инаугурации эта новость была чем-то невыносимым, особенно если учесть, что на него смотрел весь мир.
Однако дата-центры Сеула не сообщали о каких-либо неисправностях, и команда Oh считала, что проблемы можно решить. Он до сих пор не знал, что билеты на стадион невозможно распечатать. Итак, он поселился на своем месте, готовый насладиться этим событием, которое, безусловно, было самым важным моментом в его карьере.
За десять секунд до 20 начали появляться цифры обратного отсчета, один за другим, а хор детских голосов отметил отсчет на корейском:
"Глоток! ... Гу! ... друг! ... Чил!
В середине обратного отсчета телефон О внезапно прояснился. Он посмотрел вниз и увидел сообщение на KakaoTalkпопулярное корейское приложение для обмена сообщениями. Сообщение представляло собой наихудшую новость, которую О мог бы получить в то время: «Было что-то или кто-то, кто отключал все контроллер домена присутствуют в Сеульских дата-центрах, то есть на серверах, которые сформировали костяк ИТ-инфраструктуры Олимпиады ».
Как только началась церемония открытия, вокруг стадиона взорвались тысячи фейерверков, и десятки корейских марионеток и танцоров вышли на сцену. О, хотя, он не видел ничего из этого. На самом деле он неистово связывался со своими сотрудниками, беспомощно наблюдая за тем, как вся их ИТ-инфраструктура безостановочно закрывалась. Вскоре он понял, что то, о чем сообщила компания-партнер, не было простой технической проблемой. Это был первый признак продолжающейся атаки. Теперь стало ясно, что он должен добраться до своего технологического операционного центра.
Когда Ох достиг выхода стадиона из пресс-секции, репортеры вокруг него уже начали жаловаться на неисправность Wi-Fi. Тысячи подключенных к Интернету телевизоров, показывающих церемонию вокруг стадиона и в 12 других олимпийских объектах, стали черными. Все входы безопасности на основе RFID, которые разрешали доступ к каждому олимпийскому зданию, были неактивными. Официальное приложение к Олимпиаде, включая функцию цифрового билета, также вышло из строя.
Однако организационный комитет Пхенчхана подготовился к подобным ситуациям. С 20 года его группа по кибербезопасности встречалась 2015 раз. Они проводили учения летом прошлого года, имитируя такие стихийные бедствия, как кибератаки, пожары и землетрясения. Но теперь, когда разворачивался один из тех кошмарных сценариев, чувство «О» было и безумным, и сюрреалистическим. «Это действительно произошло», - подумал О, словно стряхивая с себя ощущение, что это просто плохой сон.
Как только О пробрался сквозь толпу, он побежал к выходу со стадиона и вышел в холодный ночной воздух, к нему присоединились два других ИТ-сотрудника. Они запрыгнули в внедорожник Hyundai и начали самую длинную 45-минутную поездку в своей жизни, чтобы добраться до прибрежного города Каннын, где находился технологический центр Олимпиады.
Из машины Ох позвонил сотрудникам на стадионе и сказал им, чтобы они начали распространять точки доступа Wi-Fi среди журналистов и сообщили службе безопасности, чтобы они проверяли значки вручную, потому что все системы RFID были неисправны. Но это было наименьшим их беспокойством. О, он знал, что примерно через два часа церемония открытия закончится, и десятки тысяч спортсменов, посетителей и зрителей обнаружат, что у них нет подключений Wi-Fi и нет доступа к приложению Олимпиады, полному расписанию, информации о отели и карты. Результат был бы унизительным. Если бы они не смогли запустить серверы к следующему утру, весь ИТ-отдел организационного комитета, отвечающий за все, от еды до бронирования отелей и билетов на мероприятия, остался бы в автономном режиме, в то время как игры были бы полным ходом. Крупнейшее технологическое фиаско в истории одной из самых технологически развитых стран мира было на горизонте.
Ой прибыл в Центр технологических операций Каннына в 21 вечера, на полпути к церемонии открытия. Центр состоял из большого открытого пространства со столами и компьютерами для 150 сотрудников; вся стена была покрыта экранами. Когда он вошел, многие сотрудники стояли, собирались вместе и с тревогой обсуждали, как ответить на нападение. Проблема также усугублялась тем, что основные службы, такие как электронная почта и обмен сообщениями, были отключены.
Все девять контроллеров домена, которые управляли аутентификацией, были каким-то образом отключены, что сделало недоступными любые ресурсы. Персонал принял решение о временном решении, а именно обойти так называемые мертвые машины-привратники, настроив прямой доступ ко всем выжившим серверам, которые питали некоторые базовые услуги, такие как Wi-Fi и телевизоры, подключенные к Интернету. Таким образом, им удалось снова подключить эти службы к сети за несколько минут до окончания церемонии.
В течение следующих двух часов, пытаясь перестроить контроллеры домена для воссоздания лучшей и более безопасной сети, технические специалисты обнаружат, что, как и в игре с кротами, службы были остановлены гораздо быстрее, чем они смогли их восстановить. Очевидный признак чьего-либо присутствия в сети.
За несколько минут до полуночи Ох и его системные администраторы с неохотой решили отчаянную меру: они отключат всю сеть от Интернета, пытаясь изолировать ее от злоумышленников, потому что было ясно, что они могут двигаться внутрь благодаря каналам управления и контроля, которые они поняли. Конечно, это означало сломать все службы, даже публичный сайт Олимпиады. С другой стороны, это был бы единственный способ искоренить любую инфекцию.
Всю оставшуюся ночь О и его сотрудники отчаянно работали над восстановлением «цифровой нервной системы» Олимпийских игр. К 5 часам утра корейскому партнеру по безопасности AhnLab удалось создать антивирусную сигнатуру, которая могла бы помочь сотрудникам О остановить вредоносное ПО на тысячах компьютеров и серверов в сети, которые были заражены.
В 6:30 утра системные администраторы сбрасывают пароли сотрудников в надежде заблокировать любой доступ к хакерам. Незадолго до 8 часов утра, почти ровно через 12 часов после начала кибератаки на Олимпиаде, О и его сотрудники, не спавшие, завершили восстановление своих серверов из резервных копий и начали перезапускать службы.
Удивительно, но все работало и, в целом, медвежья услуга была минимальной. Журналист из Boston GlobeПозже он назвал игры "безупречно организованными". Тысячи спортсменов и миллионы зрителей не знали о том, что сотрудники Олимпийских игр провели ночь, сражаясь с невидимым врагом, который угрожал бросить все это событие в хаос.
Однако через несколько часов после атаки в сообществах кибербезопасности начали распространяться первые слухи о проблемах, которые привели к сбою веб-сайта Олимпиады, инфраструктуры Wi-Fi и различных приложений во время церемонии открытия. Через два дня после церемонии оргкомитет Пхенчхана подтвердил, что он стал целью кибератаки, но отказался комментировать, кто мог быть за этим нападением.
Авария сразу стала международным делом. Кто осмелился бы осуществить кибератаку на цифровую инфраструктуру Олимпиады?
Кибератака в Пхенчхане станет самой обманчивой в истории хакерской операцией, в ходе которой самые изощренные из когда-либо найденных средств использовались, чтобы сбить с толку судебных аналитиков при поиске преступников.
Сложность установления источника атаки, так называемая проблема атрибуции, страдает от кибербезопасности с момента появления Интернета. Самые искушенные хакеры могут соединиться, используя извилистые маршруты и вставляя тупики в сами маршруты, делая практически невозможным следовать по их следам. Аналитики-криминалисты, однако, научились определять личность хакеров другими способами, ища ключи в коде, связи с инфраструктурой и политические мотивы.
Однако в последние годы спонсируемые государством кибершпионы и диверсанты все чаще экспериментируют с другим приемом: установление так называемых «ложных флагов». Эти действия, предназначенные для обмана как аналитиков, так и технических специалистов, привели к творческому описанию личности хакеров, которую трудно стереть, даже после того, как правительства объявили официальные результаты, полученные их спецслужбами. Конечно, не помогает то, что эти официальные результаты появляются часто, через недели или даже месяцы после атаки, но это все.
Например, когда северокорейские хакеры нарушили Фотографии Sony в 2014 году, чтобы предотвратить выпуск «Интервью», они изобрели группу «хактивистов» под названием «Стражи мира» и попытались ввести следователей в заблуждение с помощью расплывчатой записки о выкупе. Даже после того, как ФБР объявило Северную Корею ответственной, а Белый дом ввел новые санкции против режима Кима в качестве наказания, несколько охранных компаний продолжали утверждать, что атака должна была быть спровоцирована изнутри.
Когда в 2016 году спонсируемые государством российские хакеры украли и опубликовали электронные письма Национального комитета Демократической партии и кампании Хиллари Клинтон, теперь мы знаем, что Кремль также придумывал истории, чтобы скрыть и отвлечь внимание других. ответственность за это нападение. Он изобрел одинокого румынского хакера по имени Guccifer 2.0, чтобы приписать атаку, и даже распространил слухи о том, что за публикацию электронных писем и распространение документов отвечал убитый позднее сотрудник Демократической партии по имени Сет Рич. украдено с помощью поддельного сайта DCLeaks. Эти ложные новости или обманы, если хотите, стали теориями заговора, используемыми и эксплуатируемыми правыми сторонниками и кандидатом в президенты Дональдом Трампом.
Таким образом, атмосфера недоверия была создана в учреждениях, и заслуга тех, кто поддерживал ложные тезисы, и скептики также отвергли очевидные признаки, которые привели к ответственности Кремля настолько, что даже совместное заявление спецслужб США Это произошло спустя четыре месяца, и Россия приписала ответственность за нападение, которое уже не могло изменить мнение простых людей об этом инциденте. И даже сегодня опрос Economist показывает, что только половина американцев считают, что Россия вмешалась в выборы.
С появлением вредоносного ПО на Олимпиаде в Пхенчхане искусство цифрового обмана достигло огромных успехов. Следователи не нашли бы ни одного в вредоносном коде ложный флаг но несколько других ложных подсказок указывают на нескольких потенциальных преступников. И некоторые из этих улик были спрятаны так глубоко, что было сказано, что такого никогда раньше не было.
С самого начала геополитические мотивы олимпийских диверсий были далеко не ясны. Известно, что любая кибератака в Южной Корее, конечно, обвиняется в Северной Корее. Так называемое "королевство отшельников" в течение многих лет преследовало капиталистических соседей низкими военными и кибервойнами провокациями. Накануне Олимпиады аналитики компании по компьютерной безопасности McAfee они предупредили, что корейскоязычные хакеры напали на организаторов олимпийских игр в Пхенчхане с помощью фишинговых писем и что Северная Корея была ответственна за создание специального вредоносного программного обеспечения для цифровой инфраструктуры Олимпиады.
Однако на публичной сцене наблюдались противоречивые признаки. В начале Олимпиады Северная Корея, казалось, экспериментировала с более дружелюбным подходом. Северокорейский диктатор Ким Чен Ын направил свою сестру в качестве дипломатического эмиссара на игры и пригласил президента Южной Кореи Мун Чжэ Ина посетить столицу Северной Кореи Пхеньян. Обе страны даже выступили с идеей участия в Играх с единой женской хоккейной командой. Так зачем Северной Корее проводить разрушительную кибератаку в середине Игр?
Потом была Россия. У Кремля был мотив для нападения на Пхенчхан. Допинговые расследования российских спортсменов привели к унизительному результату перед Олимпиадой 2018 года: его спортсменам разрешили участвовать в соревнованиях, но не могли носить российские цвета или принимать медали от имени своей страны. В течение многих лет до этого приговора спонсируемая государством российская хакерская команда, известная как Fancy Bear, сопротивлялась, крала и утекала данные о допинге. Изгнание России из игр было именно тем рычагом, который мог вдохновить Кремль на подрывную атаку на церемонии открытия. Если российское правительство не сможет получить удовольствие от Олимпиады, то и никто.
Однако и здесь все было не так ясно. За несколько дней до церемонии открытия Россия отрицала какую-либо хакерскую деятельность, связанную с Олимпийскими играми. «Мы знаем, что западные СМИ планируют псевдо-расследование на предмет« российских отпечатков пальцев »при хакерских атаках на ИТ-ресурсы, связанные с проведением зимних Олимпийских игр в Республике Корея», - заявили в МИД России. Агентство Рейтер. «Конечно, нет никаких доказательств, чтобы доказать это».
На самом деле, было бы много доказательств, которые могли бы привести к рассмотрению ответственности России. Реальная проблема заключается в том, что было много других, которые указывали на обратное в соответствии с классической игрой обмана.
Через три дня после церемонии открытия подразделение безопасности Cisco Talos сообщило, что оно получило копию вредоносной программы, созданной для Олимпийских игр, и проанализировало ее. Кто-то из оргкомитета Олимпиады или, возможно, корейской охранной компании AhnLab действительно загрузил вредоносный код на VirusTotal. Позже компания опубликует результаты анализа в своем блоге и назовет вредоносное ПО Olympic Destroyer.
В принципе, анатомия Olympic Destroyer напоминала две предыдущие российские кибератаки: NotPetya и Bad Rabbit. Как и в случае с этими предыдущими атаками, Olympic Destroyer также использовал инструмент «кражи учетных данных» в сочетании с функциями удаленного доступа Windows, которые, благодаря уязвимостям, обнаруженным из-за отсутствия обновлений, позволили ему распространиться между различными машинами в сети. . Наконец, он использовал компонент измельчения данных, чтобы очистить конфигурацию загрузки с зараженных машин перед отключением всех служб Windows и выключением компьютеров, чтобы их нельзя было перезапустить. Аналитики охранной компании CrowdStrike нашли бы другой код, относящийся к России; элементы, напоминающие российский вымогатель XData.
Несмотря на это, не было никакой ясности, потому что, казалось, не было четкого соответствия, с точки зрения кода, между Olympic Destroyer и предыдущими червями NotPetya или Bad Rabbit, даже если они содержали подобные характеристики. Видимо, скорее всего, они были воссозданы с нуля или скопированы из других источников.
В результате еще более глубокого анализа выяснилось, что часть очистки данных Olympic Destroyer имеет те же характеристики, что и код очистки данных, который использовался не Россией, а северокорейской хакерской группой, известной как Lazarus. Когда исследователи Cisco поместили логические структуры компонентов стирания данных рядом, они фактически, казалось, совпадали, хотя и слабо. Оба они уничтожали файлы одинаково: удаляли только первые 4.096 байт.
Можно сказать, что Северная Корея стояла за атакой, тогда?
Однако были и другие следы, которые вели в совершенно разных направлениях. Фирма по безопасности Intezer отметила, что фрагмент кода для кражи учетных данных и паролей был соединен с точно такими же инструментами, которые использовала хакерская группа, известная как APT3, группа, которую несколько фирм по кибербезопасности связали с правительством Китая. Компания также смогла идентифицировать компонент, который Olympic Destroyer использовал для генерации ключей шифрования, и связал его с другой группой, APT10, также связанной с Китаем. Intezer отметил, что компонент шифрования никогда раньше не использовался другими хакерскими командами. Россия? Северная Корея? Китай? Чем больше мы продолжали анализ вредоносного ПО, тем больше актеров появлялось на горизонте, и все также казалось крайне противоречивым.
Фактически, все эти подсказки, как уже упоминалось, очень часто противоречивые, казалось, были разработаны не для того, чтобы привести аналитиков к единому ответу, но чтобы создать путаницу и сделать решение головоломки чрезвычайно трудным. Тайна подвергла следователей испытанию, создав огромное количество сомнений. «Это была настоящая психологическая война, нацеленная на аналитиков», - сказал Сайлас Катлер, исследователь безопасности, который в то время работал на CrowdStrike.
По словам Крейга Уильямса, исследователя Cisco, это сомнение, как и последствия саботажа на Олимпиаде, казалось, стало настоящей целью вредоносного ПО. «Даже когда такая атака завершает свою миссию, реальное сообщение для сообщества безопасности очевидно, - сказал Уильямс. «При анализе кибератак очень сложно приписать ответственность, потому что вас всегда могут ввести в заблуждение». И это действительно глубокая правда.
Оказалось, что организационный комитет Олимпиады был не единственной жертвой Олимпийского Разрушителя. По данным российской охранной компании Kaspersky, кибератака затронула и другие цели, связанные с Олимпийскими играми, в том числе Atos, провайдер ИТ-услуг во Франции, который поддержал это мероприятие, и два горнолыжных курорта в Пхенчхане. Одно из этих мест было заражено достаточно серьезно, поэтому лифты были временно заблокированы.
В дни, прошедшие после атаки во время церемонии открытия Игр, группе глобального исследования и анализа Kaspersky удалось получить копию вредоносного кода Olympic Destroyer с одного из горнолыжных курортов и начать анализировать его иначе, чем сделано Cisco и Intezer. Он проанализировал свой «заголовок», часть метаданных файла, которая включает подсказки, какие типы инструментов программирования использовались для его записи. Сравнивая этот заголовок с другими образцами вредоносных программ, они нашли идеальное совпадение с методом удаления данных, используемым северокорейскими хакерами Lazarus, - тем же, который уже указывал Cisco. Северокорейская теория казалась подтвержденной.
Но старший исследователь Касперского по имени Игорь Суменков решил сделать что-то другое. Суменков, как известно, был этическим хакерским вундеркиндом и был нанят в исследовательскую группу Касперского с самого раннего возраста, поскольку он обладал необычайно глубокими знаниями заголовков файлов. Поэтому он решил перепроверить выводы своих коллег.
Суменков проверил код и определил, что метаданные заголовка не имеют отношения к коду вредоносной программы; вредоносная программа не была написана с помощью инструментов программирования, которые обычно связаны с заголовком. В конечном счете, метаданные представляли собой фальшивку.
Это было нечто иное, чем все другие признаки побочных действий, которые исследователи обнаружили до сих пор. На самом деле, до тех пор никто не мог точно сказать, какие подсказки были реальными, а какие - нет. Но теперь, вводя реальные складки кода и метаданных, Суменков нашел один ложный флаг, так называемый истинный обман. Теперь стало ясно, что кто-то пытался удостовериться, что вредоносная программа может быть отнесена к Северной Корее и что она почти успешна, но благодаря тщательной тройной проверке Касперского этот обман раскрылся.
С другой стороны, было также очевидно, что код не был приписан Китаю, потому что, как правило, китайский код очень узнаваем, и это сильно отличалось.
Ну и что? Если не Китай, если не Северная Корея, то кто?
Несколько месяцев спустя в конференц-зале «Лаборатории Касперского», столкнувшись с этим вопросом, Суменков вытащил набор игральных костей из небольшого черного тканевого мешочка. По бокам маленьких черных кубиков были такие слова, как «Аноним», «Киберпреступники», «Хактивисты», «США», «Китай», «Россия», «Украина», «Кибертеррористы», «Иран». Это были знаменитые кубики атрибуции.
Kaspersky, как и многие другие компании по обеспечению безопасности, использует строгую политику, которая влияет только на способность останавливать хакерские атаки, не упоминая страну или правительство, за которыми может идти сама атака. Но так называемая атрибуционная игральная кость, которую Суменков держал в руке, явно представляла собой раздражение проблемы атрибуции, а именно, что «никакая кибератака никогда не может быть прослежена до ее источника, и любой, кто пытается, является просто тем, кто пытается угадать ".
Майкл Матонис работал из своего дома, когда он начал тянуть нити, которые разгадывают тайну Олимпийского Разрушителя. 28-летний экс-анархист, ставший следователем службы безопасности, до сих пор не имеет стола в офисе FireEye. Поэтому, когда Матонис начал изучать вредоносное ПО, которое затронуло Пхенчхан, он сидел в своем импровизированном рабочем пространстве: раскладное металлическое кресло с ноутбуком на пластиковом столе.
По прихоти Матонис решил попробовать совершенно иной подход, чем те, кто анализировал его до этого. Он не искал никаких подсказок в коде вредоносного ПО, но начал изучать гораздо более банальный элемент операции: поддельный, вредоносный документ Word, который послужил первым шагом в почти катастрофической диверсионной кампании церемонии открытия.
Документ, который, как оказалось, содержал список VIP-делегатов на играх, вероятно, был отправлен по электронной почте сотрудникам Олимпийских игр в качестве приложения. Если бы кто-то открыл это вложение, был бы запущен вредоносный скрипт, который установил бы бэкдор на их ПК, предлагая хакерам первую точку опоры в целевой сети. Когда Матонис вытащил документ из VirusTotal, он увидел, что приманка, вероятно, была отправлена сотрудникам Олимпиады в конце ноября 2017 года, более чем за два месяца до начала игр. Поэтому хакеры вошли в олимпийскую сеть несколькими месяцами ранее, чтобы спровоцировать их атаку.
Матонис попытался найти соответствие с этим образцом кода, проанализировав документы, представленные в VirusTotal и в базах данных FireEye. Во время первого сканирования он не обнаружил ничего, кроме того, что Матонис заметил, что несколько десятков документов, зараженных вредоносным ПО и присутствующих в архивах, примерно соответствовали характеристикам его файла: макросы Word, созданные для запуска команд Powershell. Продолжая анализ, в конце концов, Матонис обнаружил, что попытка сделать закодированные файлы уникальными, вместо этого сделала эти файлы определенно узнаваемой группой. Вскоре он обнаружил, что за созданием этих вредоносных файлов был легко доступный онлайн-инструмент под названием «Генератор вредоносных макросов».
Матонис предположил, что хакеры выбрали программу, чтобы смешивать себя с другими авторами вредоносных программ, но в итоге они достигли противоположного эффекта. Кроме того, он заметил, что группу вредоносных макросов объединяют имена авторов, извлеченных из метаданных. Большинство из них были написаны кем-то по имени "AV", "BD" или "John".
Среди проанализированных файлов Матонис обнаружил два других документа о приманках, выпущенных в 2017 году, которые предназначались для украинских групп ЛГБТ-активистов, используя зараженные файлы из фальшивых организаций, борющихся за права геев. Другие, однако, нацелены на украинские компании и правительственные учреждения.
Для Матониса это была знакомая территория: более двух лет он видел, как Россия начала серию разрушительных хакерских операций против Украины, беспощадную кибервойну, которая сопровождала вторжение в Россию после ее революции. западный 2014.
Несмотря на то, что эта физическая война унесла жизни 13.000 человек на Украине и привела к перемещению миллионов людей, российская хакерская группа, известная как Sandworm, вела настоящую кибервойну против Украины: она заблокировала украинские компании, правительственные учреждения, железные дороги. , и аэропорты с волнами вторжений, которые уничтожили огромное количество данных, включая два беспрецедентных взлома украинских электроэнергетических компаний в 2015 и 2016 годах, которые привели к отключению электроэнергии для сотен тысяч людей. Кульминацией этих атак стала NotPetya - вредоносная программа, которая быстро распространилась за пределы Украины и в конечном итоге нанесла глобальным сетям ущерб на 10 миллиардов долларов - это самая дорогостоящая кибератака в истории.
В этот момент в голове Матониса все остальные подозреваемые в олимпийской атаке упали. Матонис пока не может связать атаку с определенной группой хакеров, но только одна страна нацелится на Украину почти за год до атаки в Пхенчхане, используя ту же инфраструктуру, которую позже использует для взлома оргкомитета. Олимпиады, и это был не Китай или Северная Корея.
Как ни странно, другие зараженные документы в руках Матониса, похоже, стали жертвами российского рынка недвижимости и коммерции. Была ли задача российской хакерской команды - шпионить за некоторыми российскими олигархами от имени их разведчиков?
Несмотря на это, Матонис наконец-то пересек финишную черту, обнаружив, кто стоит за кибератакой Олимпийских игр 2018 года: Кремль.
«Случай Олимпийского Разрушителя был первым разом, когда кто-либо использовал это ложные флаги в значительном и соответствующем нападении на национальную безопасность и представляло вкус того, какими могут быть конфликты будущего ".
Было бы еще много чего сказать, но я думаю, что лучше всего потратить время на чтение «Песчаного червя» Энди Гринберга, который, как уже упоминалось в начале, послужил источником для написания этой истории и все большего понимания того, что она Необходимо расширить взгляд каждого из нас и проанализировать инциденты безопасности в полной мере, чтобы понять, что на самом деле стоит за тем, что, по-видимому, похоже на атаки, не связанные друг с другом.
Наша безопасность всегда проходит через наше желание изучить и понять события досконально и поднять предложение Бернарда Баруха: «Миллионы видели падение яблока, но Ньютон был тем, кто задавался вопросом, почему.
Другие источники: Нерассказанная история NotPetya, самой разрушительной кибератаки в истории
