Ярко проявившая себя на открытии зимней Олимпиады хакерская группировка с говорящим названием Olympic Destroyer снова в эфире. Теперь ее целью российские банки и украинские химические и биологические лаборатории.
Ранее зарубежные эксперты высказывались в том духе, что за OD стоит Россия (так как она была забанена на играх в Пхенчхане), однако анализом вируса занималась «Лаборатория Касперского» и новая версия программы нацелена на российские кредитные учреждения. Известно, что перед запуском малваря хакеры изучали атакуемые сети в поисках наиболее подходящей «стартовой площадки» для самовоспроизводящегося, самомодифицирующегося червя.
По словам экспертов «Лаборатории Касперского», в мае-июне текущего года Olympic Destroyer снова активизировались и начали рассылать фишинговые письма с вредоносным вложением, аналогичные «олимпийским». Проанализировав письма и телеметрические данные исследователи обнаружили, что новыми жертвами Olympic Destroyer являются финансовые организации в РФ, а также лаборатории в Европе и Украине, специализирующиеся на химической и биологической безопасности.
Тактика хакеров осталась прежней: для обхода обнаружения атаки злоумышленники используют обфусцированные (запутанные, невидимые) скрипты и метод заражения без использования исполняемых файлов. Далее, для хостинга и управления вредоносным ПО хакеры используют скомпрометированные легитимные web-серверы, например, известные структуры каталогов, используемые системой управления контентом Joomla.
Вскоре после завершения церемонии открытия зимних Олимпийских игр в Пхенчане в феврале 2018 года, СМИ сообщили о кибератаке. Из-за нее во время церемонии на стадионе отключился Wi-Fi и телевизионные системы, а также на время перестал функционировать официальный сайт Олимпиады. Выяснилось, что за произошедшим стоят хакеры Olympic Destroyer, написавшие полиморфного вредоноса-вайпера интересной структуры, который эволюционировал и избегал удаления.