事件概述

平昌冬奧會，於2018年在韓國舉行，在舉辦前夕，12月6日消息，國際奧會禁止俄羅斯以國家名義參加平昌冬奧會，舉行期間醜聞不斷。

2018年2月24日，據美國情報，俄羅斯軍事間諜對2018年韓國冬季奧運會管理人員使用的數百臺電腦實施了駭客行動。

2018年2月26日，平昌的官員們承認，2018年2月9日舉行的冬奧會開幕式遭到了網絡襲擊，但他們拒絕證實襲擊是由俄羅斯人發動的。開幕式晚上，互聯網、廣播系統和奧運會網站都出現了問題。許多觀眾無法列印他們的入場券，導致座位空置。

而近日，媒體Wired發佈了一篇報導，作者為Andy Greenberg，下麵這個故事節選自其新書《Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's MostDangerous Hackers》，而Sandworm組織在此前我們的關於烏克蘭電網分析報告中有詳細介紹。

該書將於2019年11月5日出版。

直擊網絡攻擊現場

在2018年2月9日晚上8點左右，在韓國東北山區的高處，化名為A的平昌奧運會組委會技術總監坐在塑膠椅上，他負責監督奧運會的IT基礎架構的設定，該基礎架構包括兩個漢城資料中心中的一萬多臺PC、兩千多種移動設備、六千三百個Wi-Fi路由器和三百臺服務器。

此時，A距平昌奧林匹克體育場僅幾十米，而2018年冬季奧運會開幕式即將開始。

當現場周圍的燈光變暗時，現場35000人手機荧幕的光芒像螢火蟲般在體育場周圍縈繞，大量的機器似乎運轉良好。

然而，在半個小時前，A得到了一個棘手的科技問題的消息，迴響的問題根源是一家IT承包商，奧運會從這家IT公司租用了另外一百臺服務器。但是，韓國首爾的資料中心沒有報告任何相關問題，囙此他們認為承包商的問題是可以解决的。然而，此時的A，並不知道很多觀眾已經無法通過列印門票進入會場。

晚上8點前十秒，當奧運會開始倒數計時期間，A的三星手機忽然亮起並在KakaoTalk接到下屬的一個消息：某個東西正在關閉漢城資料中心的每一個域控制服務器，而這些服務器構成了奧運會IT基礎架構的骨幹網絡。

當A得知此消息，並急衝衝從出口處的新聞發佈區出來時，他周圍的記者已經開始抱怨Wi-Fi似乎突然停止工作。成千上萬的聯網電視本應該進行轉播，但是荧幕都變黑了。此外通往每座奧運大樓的所有基於RFID的安全門都已關閉。奧運會的官方應用程序（包括其數位票務功能）也已無法啟動，因為試圖請求的後端服務器並沒有回傳數據給它。

要知道，平昌組委會為此做足準備，自2015年以來，其網路安全諮詢小組已舉行了20次會議，進行網絡攻擊演習，甚至包括火灾和地震等災難。然而，事情還是發生了。而他們的補救措施只能是向記者分發Wi-Fi熱點，並讓工作人員手動檢查憑證。

隨後，A在晚上9點到達了江陵市的科技運營中心開始搶救，由於故障問題，他們無法訪問許多基本服務，諸如郵件服務。排查發現，資料中心中有9域服控制服務器均出現不同程度的故障。

遇到這種情況，現場工作人員决定採用一種臨時的解決方法：他們將所有仍在運行的服務器單獨進行操作，將這些可用的服務器為Wi-Fi和互聯網電視提供一些基本服務支援，從而先使服務可以上線，並拖延時間以設法在開幕式結束前幾分鐘將這些可以提供基本服務的系統恢復上線，防止來訪的貴賓和觀眾在結束後發現他們沒有Wi-Fi連接，也無法訪問Olympics應用程序。

在接下來的兩個小時中，當他們嘗試重新啟動域控制服務器以重新恢復此前的穩定網絡時，工程師們一次又一次地發現服務器已經癱瘓，可以充分說明，他們系統中仍然存在一些惡意的存在，其破壞機器的速度超過了重建機器的速度。

淩晨前幾分鐘，科技團隊無奈地决定採取一種絕望的措施：他們將整個網絡從Internet上斷開，從而試圖將其與破壞者隔離開，他們認為破壞者仍然在內部活躍。這意味著必須關閉所有服務，甚至包括奧林匹克運動會的公共網站，同時他們要根除任何惡意軟件感染。

這個也就導致後來，pyeongchang2018.com在一段時間內打不開並被安全社區發現並在外網廣泛流傳被入侵的原因。

這樣的操作進行了第二天淩晨5點，韓國安全公司AhnLab設法創建了一個防病毒簽名，可以幫助機器進行殺毒操作，以抵抗感染了它們的神秘惡意軟件。

淩晨6:30，奧運會的管理員重置了工作人員的密碼，從而封锁駭客可能通過憑證進行攻擊的行為，後續的程式碼分析證明他們做對了。

當天上午8點左右，也就是奧運會網絡攻擊開始後幾乎正好12個小時，科技人員完成了從備份中重建服務器的工作，並開始重新啟動所有服務。奧運會也成功舉行，然而很多人都不知道，在奧運會開幕式的晚上，有一批人與一個看不見的敵人進行了戰鬥。

網絡蠕蟲武器，假旗不斷

那麼這個神秘的惡意軟件到底是什麼來頭，根據國外安全廠商的報告，紅雨滴團隊對其中一個關鍵樣本進行了分析。在此之前，先介紹一個概念：假旗行動，英文名為False flag，是隱蔽行動的一種，指通過使用其他組織的旗幟、制服等手段誤導公眾以為該行動由其他組織所執行的行動。假旗行動在諜報活動中非常常見，此外民間的政治選舉也常有採用此法。

而這類行為，放在網路安全界也相當常見，諸如使用其他攻擊者常用的網絡武器作為自己的武器進行攻擊，從而將活動嫁禍於他人。

在本起攻擊活動中，提到的假旗體現在網軍的網絡武器中，以下統稱特種木馬，縮寫特馬。其主要往特馬本身嵌入了多段其他網軍常用的二進位程式碼特徵。

針對奧運會攻擊的初始樣本OlympicDestroyer是一種網絡蠕蟲，它收集帶有主機名的用戶憑據，並將新數據附加到現有數據的末尾，從而進一步滲透。

而攻擊樣本有幾點特徵，如將筦道命名為123，用作與釋放的下麵提到的兩個竊密檔案進行筦道通信。

一、釋放PsExec遠程控制工具用於橫向移動

二、釋放並運行C:\Users\user\AppData\Local\Temp\_ywl.exe，該PE定性為系統銷毀器，名稱隨機。

而_ywl會分別通過cmd執行命令：

調用wbadmin.exe删除系統上所有快照。

調用bcdedit.exe禁止系統自動修復

調用Wevtutil.exe清除系統日誌

此外，其還會禁用系統上所有服務，並通過服務啟動類型ChangeServiceConfig函數修改參數為4，即禁用服務啟動。

之後，銷毀器還會試圖連接文件共亯目錄，並通過創建檔案的形式複寫目錄中的檔案，達到擦除的效果。

在執行完上述操作並休眠一小時後，銷毀器關閉了系統，可想而知，當受害者試圖打開電腦恢復系統，會發生什麼事情。

經紅雨滴團隊測試後發現，在開啟系統後會造成頻繁重啓且藍屏的情况，無法進入系統，且安全模式也無法進入，若要進入需要執行恢復系統操作。

從此處便可以看出，攻擊者一開始打算便不是出於竊密為目的，而單純是破壞性行動，從而試圖干擾奧運會的舉行。從手法上來看，與NotPetya和BadRabbit勒索軟件相似。

而更有趣的是，攻擊者採取了一種新穎的攻擊手法，其在樣本中內嵌了用戶憑證，從而利用並進行橫向移動。

其中pyeongchang2018.com為奧運會官方網址，而攻擊者通過域憑證的管道進行橫向移動，從而可以確保攻擊的均為奧運會工作人員，此外，其通過獲取憑證模塊進行憑證竊取後，會更新到新的二進位檔案中，從而再次進行橫向移動的管道進行釋放，可以使得許可權最大化的利用，類似蠕蟲一樣的機制。

根據統計，該組織大概獲取了44個工作人員的憑證。

並且從細節上來看，平昌奧運會系統的內網IP疑似也被掌握。

後續通過下麵的遠程命令，利用PsExec和WMI進行程式傳播。

流程圖

網絡武器功能大致如上，而程式碼中實際上在各個環節都存在一些關聯到其他攻擊活動或者攻擊組織的程式碼。

一、OlympicDestroyer和NotPetya勒索的事件日誌清理和禁用系統恢復程式碼相似。

此外，樣本使用EternalRomance的利用程式碼但是並沒有調用，而這也成功欺騙了微軟

二、Intezer稱與APT3，APT10的樣本程式碼存在相似性。

三、與朝鮮APT組織Lazarus旗下的BlueNoroff相關。

上面分析提到的evtchk.txt檔名與BlueNoroff /使用的檔名（evtdiag.exe，evtsys.exe和evtchk.bat）非常相似，曾經在2016年孟加拉SWIFT網絡搶劫案中使用。並且使用了類似的擦除器程式碼。

此外，卡巴斯基的研究人員稱朝鮮Lazarus與OlympicDestroyer之間也有很高的相似度。例如，使用相同的科技來解密Payload。Lazarus在其惡意軟件加載程式中使用了此功能以保護其後門模塊免受逆向分析的影響，因為它們包含一些默認的C2資訊。

儘管該方法很相似，但是用法上還是有很大差异的：

Lazarus使用了長字母數位密碼（超過30個字元）。相反，OlympicDestroyer使用了一個非常簡單的密碼：123。

Lazarus從未將受保護的有效負載的密碼硬編碼到惡意軟件主體中，但是OlympicDestroyer由於需要自我傳播，囙此需要硬編碼操作。

此外，還有一個地方，OlympicDestroyer的PE頭中包含以前Bluenoroff樣本中出現的“Rich”標記。

按理說，朝鮮與韓國之間的網絡攻擊活動非常頻繁，朝鮮以干擾平昌奧運會為目的發起攻擊也許很正常。但是當時金正恩的妹妹也受邀參加了奧運會，這也導致攻擊的可能性降低。

此後卡巴斯基在研究分析發現，在同樣的環境編譯程式碼，出現的Rich標誌頭的位置均不一致。並且在之後的分析發現，有一個攻擊樣本於2018-02-09 13:46:23從法國上傳到VT。這是針對平昌奧運會攻擊活動一個版本的樣本，但是一些疏忽暴露了他們是偽造的事實。

1、該攻擊樣本將關機前的睡眠時間關閉了，也就是上面分析中提到的休眠一小時後關機。

2、編譯時間戳記為2018-02-09 10:42:19

3、Rich標記頭位置是符合標準規定的。

以上幾個操作都證明了，當時的攻擊者可能比較著急發起攻擊，囙此希望樣本啟動後就能直接使目標系統關機，囙此關閉了休眠操作。畢竟當天晚上8點奧運會就會開幕，所以在匆忙編譯後，忘記了偽造Rich標記便實施了投放。

囙此，這也就證實了，OlympicDestroyer幕後攻擊者，試圖通過假旗行動，從而掩飾歸因，並試圖嫁禍於朝鮮。

元兇為俄羅斯軍事情報機构GRU？

在事件爆發後，為了徹底調查歸因，FireEye公司的Matonis開始進行溯源分析，與其他安全廠商做法不一樣的是，他並沒有馬上從惡意軟件出發，相反，他採用了從OlympicDestroyer曾經所投放的釣魚檔案分析出發，而這系列釣魚攻擊釋放的均為Powershell和hta類的木馬，並不是之前用來進行破壞性的惡意軟件。

發現所有檔案均由名為“AV”，“BD”或“john”的人編寫構造，而且惡意軟件回連的服務器IP地址也存在重疊，繼續關聯發現有兩個在2017年針對烏克蘭的攻擊檔案，這也就意味著攻擊者有攻擊烏克蘭的意圖，而這背後雖然指向俄羅斯，但是並沒有更明顯的證據。

經過深入分析，Matonis發現該組織使用的功能變數名稱所解析的IP中，被解析到一個功能變數名稱account-loginserv.com。

而該功能變數名稱，Matonis稱此前在FBI的快訊中，聲稱俄羅斯GRU在2016年針對美國的大選中，曾經使用該功能變數名稱進行攻擊。

基於此，其認為，當年攻擊奧運會的幕後網軍真相大白。

在Matonis分析過程中，美國國家安全局（NSA）和中央情報局（CIA）的兩名不願透露姓名的情報官員告訴《華盛頓郵報》，奧運會是由俄羅斯進行的網絡攻擊，它試圖對朝鮮進行陷害。並將這次襲擊專門歸咎於俄羅斯軍事情報機构GRU，該機构策劃了對2016年美國大選的干預和對烏克蘭的停電襲擊，並發動了NotPetya的破壞。

而Matonis的分析，再結合美國方面的透露，也許對於針對奧運會發起攻擊的幕後黑手輪廓，畫像更加準確一些。

格勒烏（GRU）創建於西元1918年10月21日，是俄羅斯聯邦最大也是最為秘密的情報機構，中文全稱為俄羅斯聯邦軍隊總參謀部情報總局。

2018年7月13日，Robert Mueller對12名GRU駭客參與選舉干預提出了起訴書，認為他們入侵了DNC和柯林頓競選活動的證據。

在長達29頁的起訴書中，有一名GRU駭客Anatoliy Sergeyevich Kovalev被任命為GRU組織74455的成員，該組織位於莫斯科北部郊區希姆基的一幢20層高的建築。

起訴書指出，74455部隊已經為GRU入侵DNC和柯林頓戰役提供了後端服務器。但更令人驚訝的是，起訴書還說該組織“協助”了這次行動，以洩露在這些行動中被盜的電子郵件。指控稱，第74455部隊幫助建立了DCLeaks.com甚至Guccifer 2.0，後者是偽造的羅馬尼亞駭客角色，聲稱受到入侵並向民主黨提供了被盜的電子郵件給WikiLeaks。

攻擊活動仍在繼續

在攻擊事件發生半年後，發現該組織仍然在活動，目標為俄羅斯的金融組織以及歐洲和烏克蘭的生物和化學威脅預防實驗室。此時卡巴斯基已經將該組織命名為Hades。

此外，還有Checkpoint在2018年11月15日曝光的新活動。

可見，在後續的攻擊活動中，針對的目標大部分為俄羅斯利益相關目標。

總結

如此前奇安信威脅情報中心編寫的烏克蘭停電事件報告一樣，此次疑似來自俄羅斯的報復性攻擊，仍然為破壞性行動，而每當發起破壞性行動前，總會有國家間的衝突所導致。囙此，對於國際時事的把控，也將導致攻擊的預判，從而可提前進行攻擊預警。

而攻擊者在進行網絡攻擊時候，考慮的仍然是如何使得目標電腦不可用，不同於此前想直接把烏克蘭電廠給毀掉的攻擊，本次其採取的為如何使得系統更晚恢復，從而可以影響奧運會的舉辦，囙此該網軍創造性的使用了蠕蟲傳播的手法，自動進行橫向移動和擴散，並將獲取的憑證附著於新的程式碼後側，並繼續進行傳播的手法。

可見，實際上他們已經達成了目的，成功影響了開幕式當晚的正常運作。

綜合近期紅雨滴團隊編寫的網絡打擊類報告，可以看出破壞性行動可能成為激烈對抗的網絡主體之間的主要選項，無論是本次分析涉及的奧運會，或是此前的Wannacry勒索破壞攻擊，均為一個國家試圖干擾另一個國家的秩序所發起。

囙此，任何重大的活動，重大的基礎設施，都要備好Plan B，這其中也包括備用的網絡設施，備用的設施恢復方案等，在這個時代，做好災備恢復，才是重中之重。而韓國在這次奧運會的應急手段，實際上已經做到一定程度的完美，但重點在於，他們在此之前已經進行了現場攻防演習，但仍然會被入侵，說明了演習在一定程度上，還需要力度加强，才能防止被更强的敵人鑽了空子。

畢竟，攻防不對等，你無法預估攻擊者的到來，那麼我們只能進行系統化的防禦方案，奇安信威脅情報中心也將攜手推進防禦體系建設方案，以此案分析，為網安事業貢獻微薄之力。

參攷連結

[1] https://securelist.com/olympic-destroyer-is-still-alive/86169/

[2] https://www.wired.com/story/untold-story-2018-olympics-destroyer-cyberattack/

[3] https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

[4] https://blog.talosintelligence.com/2018/02/olympic-destroyer.html

[5] https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

[6] http://www.intezer.com/2018-winter-cyber-olympics-code-similarities-cyber-attacks-pyeongchang/

[7] https://securelist.com/the-devils-in-the-rich-header/84348/

[8] https://home.treasury.gov/news/press-releases/sm577

[9] https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/

[10] https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

[11]https://www.justice.gov/file/1080281/download