นักวิจัยของแคสเปอร์สกี้ แลป ติดตามภัยไซเบอร์ Olympic Destroyer อันโด่งดังที่โจมตีการเปิดตัวการแข่งขันโอลิมปิกฤดูหนาว Winter Olympic Games ที่เมืองพยองชางด้วยเน็ตเวิร์กเวิร์มจอมทำลายล้าง ได้ค้นพบว่ากลุ่มแฮกเกอร์ที่อยู่เบื้องหลังการทำลายล้างครั้งนั้นยังคงปฏิบัติอยู่อย่างต่อเนื่อง เป้าหมายคือเยอรมนี ฝรั่งเศส สวิตเซอร์แลนด์ เนเธอร์แลนด์ ยูเครน และรัสเซีย เน้นองค์กรที่เกี่ยวข้องความมั่นคงและการป้องกันภัยคุกคามทางเคมีและทางชีวภาพ
Olympic Destroyer เป็นภัยคุกคามขั้นสูงที่เข้าโจมตีองค์กร ซัพพลายเออร์และพาร์ตเนอร์ของการแข่งขันโอลิมปิกฤดูหนาว Winter Olympic Games 2018 ที่เมืองพยองชาง เกาหลีใต้ ด้วยปฏิบัติการจารกรรมทางไซเบอร์ โดยอาศัยการทำงานของเน็ตเวิร์กเวิร์ม หนอนเน็ตเวิร์กจอมทำลายล้าง มีตัวระบุชี้หลายตัวที่ชี้ไปในทิศทางต่างๆ ของแหล่งต้นกำเนิดของการโจมตีนี้ ก่อให้เกิดความสับสนอลหม่านในอุตสาหกรรมข้อมูลและความปลอดภัยข้อมูล ในเดือนกุมภาพันธ์ 2561 แคสเปอร์สกี้ แลปได้ค้นพบเค้าลางบางอย่างที่มีความซับซ้อนและหายาก ที่บ่งชี้ว่ากลุ่มลาซารัส (Lazarus group) ซึ่งเป็นตัวกระตุ้นการทำงานของการโจมตีที่เกี่ยวโยงกับเกาหลีเหนือ เป็นผู้อยู่เบื้องหลังปฏิบัติการ อย่างไรก็ตาม ในเดือนมีนาคม บริษัทได้ออกมายืนยันว่า เป็นแคมเปญที่ร้อยเรียงขึ้นมาอย่างแยบยลเป็นปฏิบัติการชวนเชื่อให้เข้าใจผิดหลงทิศทาง และกลุ่มลาซารัสก็ไม่น่าที่จะเป็นผู้รับผิดชอบอยู่เบื้องหลังปฏิบัติการนี้ แต่ตอนนี้ นักวิจัยพบปฏิบัติการ Olympic Destroyer กลับมาอาละวาดอีกครั้ง โดยใช้ทูลเซ็ตตัวที่เคยใช้เพื่อแทรกซึม และสอดแนมโดยมีเป้าหมายอยู่ที่ยุโรป
ตัวกระตุ้นการทำงานของการโจมตีกระจายมัลแวร์ผ่านเอกสารที่มี spear-phishing มีความคล้ายคลึงกับเอกสารที่มีมัลแวร์อัดแน่นมาเต็มๆ (weaponized documents) ที่ใช้ในปฏิบัติ Winter Olympic อย่างยิ่ง เอกสารล่อเหยื่อเช่นนี้โยงกลับไปยังการประชุมหัวข้อภัยคุกคามทางชีวเคมี ‘Spiez Convergence’ จัดที่ประเทศสวิตเซอร์แลนด์ โดย Spiez Laboratory ซึ่งก็คือองค์กรที่มีบทบาทสำคัญในการสืบสวนการโจมตี Salisbury นั่นเอง ยังมีเอกสารอื่นอีกที่มีเป้าหมายการโจมตีหน่วยงานปศุสัตว์ของยูเครน และเอกสารที่เป็น spear-phishing บางตัวที่นักวิจัยตรวจพบมีคำในภาษารัสเซียและเยอรมันอยู่ด้วย
บรรดาเพย์โหลดที่ถอดแยกออกมาจากเอกสารเหล่านี้ได้รับการออกแบบให้มีแอคเซส (generic access) เข้าคอมพิวเตอร์ที่เป็นเหยื่อ จากนั้นก็จะเป็นขั้นตอนที่สองของ Powershell Empire ซึ่งเป็นโอเพ่นซอร์สและเฟรมเวิร์กที่ไม่มีค่าใช้จ่ายจะทำหน้าที่เข้าโจมตีต่อไป
ผู้ร้ายดูเหมือนจะใช้เว็บเซิร์ฟเวอร์ที่ถูกต้อง (แต่ถูกเจาะ) เพื่อโฮสต์และควบคุมจัดการมัลแวร์ เซิร์ฟเวอร์พวกนี้ใช้ Joomla ระบบจัดการโอเพ่นซอร์สคอนเท้นท์ (CMS) ยอดนิยม นักวิจัยพบเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดไม่พึงประสงค์ใช้ Joomla (v1.7.3) ที่ออกมาตั้งแต่พฤศจิกายน 2554 นับว่าเป็นตัวแปร CMS ที่เก่าเอามากๆ ที่ผู้ร้ายนำมาใช้ในการแฮกเข้าเซิร์ฟเวอร์
ผลจากการวัดและส่งข้อมูลทางไกลโดยแคสเปอร์สกี้ แลป รวมทั้งการตรวจสอบไฟล์อัพโหลด และบริการตรวจหาช่องโหว่หลายช่องทาง พบว่าเป้าหมายของแคมเปญ Olympic Destroyer นี้ดูจะอยู่ที่องค์กรในประเทศเหล่านี้ ได้แก่ เยอรมนี ฝรั่งเศส สวิตเซอร์แลนด์ เนเธอร์แลนด์ ยูเครน และรัสเซีย
วิทาลี คามลัก นักวิจัยด้านความปลอดภัย ทีม GReAT แคสเปอร์สกี้ แลป กล่าวว่า “ตั้งแต่ต้นปีมานี้ รูปแบบของ Olympic Destroyer มีความซับซ้อนล่อหลอกให้เข้าใจผิด ได้เปลี่ยนรูปแบบของการระบุชี้ต้นตอของปัญหาไปเลย ได้แสดงให้เห็นว่าเป็นเรื่องง่ายเพียงใดที่จะเพลี่ยงพล้ำตกหลุมพรางจากภาพเพียงเสี้ยวหนึ่งที่แย้มออกมาให้นักวิจัยเห็นเท่านั้น การวิเคราะห์และยับยั้งภัยไซเบอร์เหล่านี้ควรเป็นความร่วมมือระหว่างองค์กรเอกชนและภาครัฐระดับนานาชาติ เราหวังว่าการที่เราเผยแพร่ผลการวิจัยนี้จะช่วยให้นักวิจัยด้านความปลอดภัยรวมทั้งผู้ที่ต้องรับผิดชอบงานด้านนี้จะมีความเข้าใจภาพรวมที่ชัดเจนยิ่งขึ้น และลดการโจมตีในรูปแบบนี้ให้ลดน้อยลงได้ในอนาคต”
ในการโจมตีก่อนหน้านี้ในช่วงฤดูการแข่งขันโอลิมปิกฤดูหนาว (Winter Olympic Games) จุดเริ่มต้นการสอดแนมเป็นช่วง 2-3 เดือนก่อนที่จะเกิดการแพร่ระบาดของเน็ตเวิร์กเวิร์มจอมทำลายล้างที่เปลี่ยนโฉมตัวเองได้ ดังนั้น จึงมีความเป็นไปได้สูงที่ Olympic Destroyer กำลังเตรียมการการโจมตีที่คล้ายกันนี้อีกภายใต้แรงจูงใจใหม่ นั่นคือเหตุผลว่าทำไมเราจึงแนะนำให้หน่วยงานชีวเคมีเฝ้าระวังภัยคุกคามไว้ให้ดี และดำเนินการตรวจสอบด้านความปลอดภัยนอกกำหนดเวลา ซึ่งผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถที่จะตรวจจับและสกัดกั้นมัลแวร์ที่เกี่ยวโยงกับ Olympic Destroyer ได้เป็นผลสำเร็จ
