東京奧運會(huì )變黑客演習場(chǎng)，開(kāi)幕式前發(fā)現針對日

奧運會(huì )變演習場(chǎng)

近日，一家日本安全公司表示，發(fā)現了一個(gè)以?shī)W運會(huì )為主題的惡意軟件樣本，其中包含擦除受感染系統上全部文件的功能，而且針對的目標似乎是日本個(gè)人電腦。

這款擦除器是在上周三(7月21日)發(fā)現的，也就是2021年?yáng)|京奧運會(huì )開(kāi)幕式的前兩天。

根據日本安全公司Mitsui Bussan Secure Directions(以下簡(jiǎn)稱(chēng)MBSD)分析發(fā)現，該擦除器不只是刪除計算機內的所有數據，而是只搜索位于用戶(hù)個(gè)人文件夾(“C:/Users//”)中的某些特定文件類(lèi)型。

刪除目標包括包括微軟Office文件，還涉及TXT、LOG以及CSV等常見(jiàn)的存儲日志、數據庫與密碼信息類(lèi)文件。

此外，該擦除器還針對使用Ichitaro日語(yǔ)文字處理器創(chuàng )建的文件(下文加粗部分的擴展名)。這讓MBSD團隊相信，這款擦除器是專(zhuān)門(mén)針對日本的計算機(通常安裝有Ichitaro應用程序)而創(chuàng )建的。

受影響的擴展名：

DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTTC, JTD, JTT, TXT, EXE, LOG

文件擦除操作

該擦除器的其他功能還包括大量反分析與反虛擬機檢測技術(shù)，以防止惡意軟件被輕易發(fā)現和分析，同時(shí)，它還能在操作完成之后將惡意軟件自動(dòng)刪除。

以成人視頻流量作偽裝

然而，其最有趣的功能是，在擦除行為發(fā)生時(shí)，該擦除器還會(huì )使用cURL應用訪(fǎng)問(wèn)XVideos成人視頻網(wǎng)站上的頁(yè)面。

訪(fǎng)問(wèn)色情網(wǎng)站URL的惡意軟件

MBSD團隊認為，添加該功能是為了欺騙取證調查人員，讓他們誤以為擦除行為是在用戶(hù)訪(fǎng)問(wèn)色情網(wǎng)站時(shí)感染惡意軟件所致。

然而，MBSD團隊表示，該擦除器是在 Windows EXE 文件中發(fā)現的，而且文件名被刻意仿冒為常見(jiàn)的PDF形式：[緊急]與東京奧運會(huì )相關(guān)的網(wǎng)絡(luò )攻擊等違規報告([Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe)

MBSD研究人員Takashi Yoshikawa與Kei Sugawara在報告中寫(xiě)道，

目前，研究人員發(fā)現了這款?lèi)阂廛浖颖镜膬蓚€(gè)樣本，并已上傳至VirusTotal。

FBI警告可能針對奧運會(huì )的網(wǎng)絡(luò )攻擊

據悉，就在美國聯(lián)邦調查局(FBI)向私營(yíng)行業(yè)發(fā)出“發(fā)現威脅者可能會(huì )以今年?yáng)|京奧運會(huì )為目標”的警報一天后，安全人員便發(fā)現了這款擦除器。

事實(shí)上，針對奧運會(huì )的攻擊事件并不是什么新鮮事。過(guò)去兩屆奧運會(huì )期間都發(fā)生過(guò)黑客攻擊事件。

鑒于興奮劑丑聞，俄羅斯運動(dòng)員被限制參加2016年里約夏季奧運會(huì )，為此，APT28(又名Fancy Bear)于2016年8月入侵了世界反興奮劑機構(WADA)，并泄露了美歐運動(dòng)員的保密醫療數據。

在禁令延長(cháng)至2018年平昌冬奧會(huì )之后，俄羅斯黑客又在開(kāi)幕式期間部署了“奧運會(huì )毀滅者”(Olympic Destroyer)擦除器，試圖削弱奧運組織者的內部網(wǎng)絡(luò )。

東京奧運會(huì )期間，禁止俄羅斯運動(dòng)員參賽的禁令仍然有效。所以，此次是否同樣為俄羅斯黑客的“報復”行為暫未可知。

參考：

【編輯推薦】