هجوم رقمي استهدف افتتاح دورة بيونغ شانغ 2018 للألعاب الأولمبية الشتوية

تعرض افتتاح دورة الألعاب الأولمبية الشتوية في بيونغ شانغ في كوريا الجنوبية يوم الجمعة الماضي إلى هجوم رقمي ببرمجية خبيثة قبل وأثناء حفل الافتتاح…

وقد تسببت الهجمة الرقمية في إيقاف الموقع الرسمي لأولمبياد الألعاب الشتوية لمدة 12 ساعة كما تسبب في انهيار الشبكة اللاسلكية المزودة للإنترنت في ستاد بيونغ شانغ الأولمبي والذي توسع ليشمل انقطاع الانترنت عن المركز الإعلامي الرئيسي للستاد وتوقف البث التلفزيوني مما أدى إلى حرمان جميع الحضور من إمكانية طباعة بطاقاتهم أو الحصول على معلومات إضافية عن المناسبة .

ووفقاً لصحيفة الغاردين البريطانية فقد اعترفت اللجنة المنظمة للاحتفال أن الهجوم الرقمي استهدف الشبكة الداعمة لإدارة الحدث ( أي الافتتاح ) وأن الهجوم والسيطرة على البنية الرقمية استمر لغاية 12 ساعة قبل أن تتم إعادة السيطرة على الشبكة .

وقد قامت عدة مؤسسات أمنية بالتبليغ على الحادث الأمني مع تحليل للحدث أن الهجمة تسببت بها برمجية تخريبية خبيثة مهمتها مسح البيانات وقد تم نشرها داخل الشبكة الرسمية الخاصة بالألعاب الأولمبية باستخدام كلمات مرور تمت سرقتها !!!

أطلق اسم ( مدمر الأولمبياد – Olympic Destroyer ) على البرمجية الخبيثة من قبل باحثين أمنيين في مؤسسة Cisco – Talos ووصفوا عمل البرمجية بأن تركيزها ينصب على إيقاف الشبكة بالكامل ومسح جميع البيانات التي تصل إليها بدلاً عن التركيز على عمليات التلاعب أو السرقة للبيانات, ومع أن Cisco لم تقم بربط هذا الهجوم بأي جهة بشكل مباشر, بدأت مؤسسات أخرى بتحليل الهجوم وتشريحه وربطه بجهات من الصين أو كوريا الشمالية أو روسيا.

ويوضح التحليل الذي نشره الباحثين الأمنيين في مؤسسة Cisco -Talos أن المهاجم يملك معرفة مسبقة عن أنظمة الشبكات المركبة والمستخدمة لإدارة حفل الافتتاح, كما أنه يمتلك العديد من التفاصيل التقنية عن البنية التحتية لهذه الشبكة كأسماء المستخدمين وأسماء النطاقات والمخدمات وبالتأكيد كلمات المرور.

تقوم البرمجية بتثبيت عنصرين لسرقة بيانات التوثيق الأولى من المتصفحات والثانية من النظام للحصول على بيانات التوثيق الخاصة بعقد أخرى على الشبكة ومن ثم الانتشار على كامل البنية التحتية للشبكة باستخدام أدوات Windows الإدارية PsExec و WMI, وفور تثبيتها تقوم البرمجية بمسح جميع بيانات النسخ الاحتياطية للملفات والأنظمة وتعطيل نظام الاسترجاع ومسح جميع الملفات المتعلقة بالولوج لتغطية أثار المهاجم.

وصفت البرمجية من قبل باحثيين سيسكو بأن غايتها التخريب بشكل واضح وأن المهاجم كان ينوي بوضوح تعطيل الشبكة ومنع المخدمات من تقديم الخدمات المنوطة بها, وأن كلمات المرور المرمزة ضمن البرمجية تشير بشكل واضح أن عملية السيطرة قد حدثت قبل تاريخ الافتتاح .

يبقى أن نذكر أنه من الصعب أن نعزو هذا الهجوم الرقمي لمجموعة مخترقين محددة أو جهة قومية أو دولية على الأقل حالياً بسبب قلة الأدلة التقنية التي تدعم هذا النوع من الاستنتاجات, كما يجب أن لا ننسى أن قراصنة المعلومات غالباً ما يستخدمون تقنيات تساعدهم في مسح آثارهم وتشوش على معرفة جوانب عملياتهم.

ملاحظة تقنية :

تم استخدام نفس أدوات Windows الإدارية سابقاً في نشر البرمجية الخبيثة NotPetya وبرمجية طلب الفدية Bad Rabbit .