Cisco heeft een analyse gepubliceerd van de malware die mogelijk bij een aanval tegen de organisatie van de Olympische Winterspelen is ingezet. Vorige week liet de organisatie van de Winterspelen weten dat het door een "cyberaanval" was getroffen, maar verdere details werden niet gegeven.

De impact van de aanval was beperkt en had geen invloed op kritieke systemen. Cisco heeft nu een malware-exemplaar gevonden genaamd "Olympic Destroyer" waarvan het denkt dat het mogelijk bij de aanval is gebruikt. Onderzoekers van de netwerkgigant zeggen dit met "gematigd vertrouwen" te weten. Wat de initiële infectievector van de malware is, is op dit moment nog onbekend. Er wordt niet uitgesloten dat de infrastructuur al was gecompromitteerd.

Zodra Olympic Destroyer op een systeem actief is maakt de malware gebruik van twee wachtwoordstelers, hardcoded wachtwoorden voor 44 Pyeongchang2018.com gerelateerde accounts en de tools PsExec en WMI om zich lateraal door het netwerk te bewegen. De wachtwoordstelers stelen wachtwoorden uit de browser en LSASS. Het werkelijke doel van de malware is om systemen zo te beschadigen dat ze onbruikbaar achterblijven, aldus Cisco.

Hiervoor verwijdert de malware shadow copies en bestanden voor het herstellen van het systeem. Ook zorgt de malware ervoor dat de Windows recovery console het systeem niet kan repareren. Tevens worden logs verwijderd om de analyse te bemoeilijken en zal Olympic Destroyer alle services op het systeem uitschakelen. Als laatste wordt de computer uitgeschakeld. In tegenstelling tot andere "wipers" wordt de harde schijf niet overschreven. Doordat alle Windows-services zijn uitgeschakeld is het echter niet mogelijk om Windows te starten.