2018年2月8日より韓国で開催されている2018年平昌冬季五輪で、2018年2月9日の開会式直前にシステム障害等のトラブルがあったと報じられました。
ここでは関連情報をまとめます。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2018年2月9日19時15分頃 | 平昌五輪組織委員会の内部でシステムトラブルが発生。 |
| 〃 | 開会式会場でWifi等が使用不可。 |
| 〃 20時 | 平昌冬季五輪大会開会式が始まる。 |
| 2018年2月10日9時頃 | 公式Webサイトの接続障害が解消。(現地時間8時) |
| 〃 午前 | 平昌五輪組織委員会が定例会見でシステムの復旧が済んだことと詳細調査中とコメント。 |
| 2018年2月11日 | 平昌五輪組織委員会が障害原因がサイバー攻撃によるものと明らかにした。*1 |
| 2018年2月24日 | 平昌五輪組織委員会は開会式がサイバー攻撃を受けWifi利用に影響が出たと発表。 |
開会式に関連して確認されたトラブル事象
(1) メインプレスセンターで開会式の映像視聴が中断
(2) 公式Webサイトの一部で接続障害
(4) 撮影で使われる予定のドローンの飛行停止
- ライブでの撮影ができずあらかじめ録画したビデオを放送した。
- システム障害による影響かどうかは不明とされている。
- IOCの広報担当者は突然の計画変更を受けドローンを展開させることが出来なかったとコメント。
システム障害の原因
システム破壊マルウェア「Olympic Destroyer」
- Talosがこの攻撃に用いたとみられるマルウェアの検体サンプルを確認したと報告。
- Talosはこの情報の信頼度は中程度と評価している。
- マルウェアからはシステム破壊の機能のみが確認されている。
- C2と通信するなどのバックドア系の機能は確認されていない。
- PsEXEC、WMIを用いた端末間での横移動を行う。これはBadRabbits、NotPetyaで見られたもの。
マルウェアの呼称
| ベンダ | 呼称 |
|---|---|
| Cisco | Olympic Destroyer |
| Microsoft | Trojan.Win32/Samcrex |
| Symantec | Trojan.Olydestroy |
| TrendMicro | TROJ_OlympicDestroyer |
マルウェアの挙動
| 資格情報の窃取 | ・ブラウザ、システムそれぞれから資格情報を窃取する機能がある。 ・ブラウザはIE,Firefox、Chromeを対象としている。 ・システムはMjmikatzでも行われているLSASSから資格情報の窃取を試みる。 |
|---|---|
| ネットワーク内への拡散 | ・ARPテーブルのスキャンを行う。 ・WMIを用いてディレクトリ内の全てのシステムリストの取得を試みる。 ・ PsExec、WMIを用いて拡散する。 |
| システム破壊 | ・vssadminを用いてシステム上のすべてのシャドウコピーを削除する。 ・wbadminを用いてバックアップカタログを削除する。 ・bcdeditを用いてスタートアップ修復を無効化する。 ・wevtutilを用いてイベントログを削除する。 ・システム上のすべてのサービスを無効にする。 ・ファイル共有で書き込み権限があるファイルを0で上書きする。 ・全ての変更を加えた後にシステムのシャットダウンを実行する。 |
ハードコードされている資格情報と見られる文字列
- マルウェア作成者がハードコードしたものではなく、資格情報を窃取した後に動的に更新する。
- ハードコードされた資格情報が実際に平昌五輪、組織委員会のシステムで利用されているものかは不明。
- 資格情報にはAtoS関係者とみられるメールアドレスが含まれている。
- 資格情報にはパスワードとみられる文字列も含まれている。
- 23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0は2018-02-09 19:01:57にルーマニアから「atos.zip」というファイル名でアップロードが行われている。
- ルーマニアはAtoSのセキュリティチームが勤務している国。
以下はVTへのアップロードが確認できた検体9種のサマリー
| 検体サンプル | ハードコードされた資格情報 | VTアップロード日時/国 | ファイル名 | コンパイル時間 |
|---|---|---|---|---|
| ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85 | − | 2018-02-09 13:33:25(フランス) | _abl.exe | 2017-12-27 09:03:48 |
| 3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2 | 8個 | 2018-02-09 13:42:46(フランス) | _mpw.exe | 2017-12-27 11:39:22 |
| d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016 | 4個 | 2018-02-09 14:28:40(オーストリア) | _wun.exe.vir | 2017-12-27 11:39:22 |
| 28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc | 10個 | 2018-02-09 14:42:59(フランス) | _smj.exe | 2017-12-27 11:39:22 |
| 19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea | − | 2018-02-09 21:58:48(フランス) | yrgah.exe | 2017-12-27 11:44:30 |
| f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936 | − | 2018-02-12 16:03:23(フランス) | file | 2017-12-27 11:44:35 |
| edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9 | 44個 | 2018-02-09 21:53:49(韓国) | winlogon.ex_ | 2017-12-27 11:44:47 |
| a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1 | 45個 | 2018-02-09 21:58:58(フランス) | _mfy.exe | 2017-12-27 11:44:47 |
| 23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0 | − | 2018-02-09 13:46:23(フランス) | olymp.exe | 2018-02-09 10:42:19 |
感染経路に関する情報
- このマルウェアにどのようにして感染するかはTalos側は把握していない。
- MicrosoftがEternalRomanceを用いて拡散されたと報告したが、その後Exploitが使用されたかは確証がないとしてまだ調査中とした。
Fresh analysis of the #cyberattack against systems used in the Pyeongchang #WinterOlympics reveals #EternalRomance SMB exploit. #WindowsDefenderAV detects attack components as Trojan:Win32/Samcrex.
— Windows Defender Security Intelligence (@WDSecurity) 2018年2月13日
Updated analysis of the Pyeonchang #WinterOlympics cyberattack shows some similarity to #EternalRomance artifacts, but no evidence yet that EternalRomance was used in the attack. We’ll continue to investigate.
— Windows Defender Security Intelligence (@WDSecurity) 2018年2月14日
関係組織の対応
平昌五輪組織委員会
参考情報
検体情報
Olympic Destroyerのサンプル
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9 d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016 3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2 28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc 19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea 23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0 3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2 a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1 ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85 d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016 edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9 f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936
その他関連情報
- 検体と他キャンペーン(APT3,APT10,APT12)のマルウェアとのコード類似性の比較をintezerが行っている。
- https://app.any.run/tasks/f0e6370d-b76c-4198-8828-538a62a71743
マルウェア内にハードコードされた文字列
- d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016
ww930\\deb00999 WW930\\w99a1mf0 WW930\\A425253 ATVIES2BQA\\bofh-ro
- 3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
ww930\\deb00999 WW930\\w99a1mf0 RUVOZ990FILSRV\\MICROSOFT$DPM$Acct WW930\\a593309 emea\\*****.************ MicrosoftOffice16_Data:SSPI:*****.************@atos.net\\(null) 10.95.47.55\\WW930\\reportadmin TEQUILABOOMBOOM\\janettedoe
- 28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc
ww930\\deb00999 WW930\\w99a1mf0 RUVOZ990FILSRV\\MICROSOFT$DPM$Acct WW930\\a593309 emea\\\*****.************ MicrosoftOffice16_Data:SSPI*****.************@atos.net\\(null) 10.95.47.55\\WW930\\reportadmin WW930\\A685898 (null)\\********.*********@atos.net MicrosoftOffice16_Data:SSPI:********.*********@atos.net\\(null)
- edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
Pyeongchang2018.com\pcadmin Pyeongchang2018.com\PCA.GMSAdmin Pyeongchang2018.com\cert01 g18.internal\minadmev g18.internal\adm.****.******* g18.internal\adm.*****.********* Pyeongchang2018.com\PCA.lyncadmin Pyeongchang2018.com\PCA.lyncadmintest Pyeongchang2018.com\PCA.SMSAdmin Pyeongchang2018.com\addc.siem Pyeongchang2018.com\jinsik.park Pyeongchang2018.com\pca.infradmin Pyeongchang2018.com\PCA.KASAdmin Pyeongchang2018.com\PCA.OMEGAdmin Pyeongchang2018.com\PCA.WEBAdmin Pyeongchang2018.com\PCA.SDAdmin Pyeongchang2018.com\pca.sqladmin Pyeongchang2018.com\PCA.giwon.nam Pyeongchang2018.com\svc_all_swd_installc Pyeongchang2018.com\PCA.spsadmin Pyeongchang2018.com\test Pyeongchang2018.com\adm.pms Pyeongchang2018.com\COS.SQLAdmin Pyeongchang2018.com\pca.dnsadmin Pyeongchang2018.com\PCA.imadmin Pyeongchang2018.com\pca.perfadmin Pyeongchang2018.com\jaesang.jeong6 Pyeongchang2018.com\pca.dnsadmin2 Pyeongchang2018.com\pca.cpvpnadmin Pyeongchang2018.com\pca.dmzadmin Pyeongchang2018.com\PCA.ERPAdmin Pyeongchang2018.com\PCA.HRAdmin Pyeongchang2018.com\pca.ssladmin Pyeongchang2018.com\pca.mgadmin Pyeongchang2018.com\PCA.SSLVPNAdmin2 Pyeongchang2018.com\pmo_admin Pyeongchang2018.com\admin Pyeongchang2018.com\web_admin Pyeongchang2018.com\cos_admin Pyeongchang2018.com\gms_admin Pyeongchang2018.com\lync.admin Pyeongchang2018.com\crm_admin Pyeongchang2018.com\ips.admin Pyeongchang2018.com\mail.admin
- a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1
Pyeongchang2018.com\pcadmin Pyeongchang2018.com\PCA.GMSAdmin Pyeongchang2018.com\cert01 g18.internal\minadmev g18.internal\adm.****.******* g18.internal\adm.*****.********* Pyeongchang2018.com\PCA.lyncadmin Pyeongchang2018.com\PCA.lyncadmintest Pyeongchang2018.com\PCA.SMSAdmin Pyeongchang2018.com\addc.siem Pyeongchang2018.com\jinsik.park Pyeongchang2018.com\pca.infradmin Pyeongchang2018.com\PCA.KASAdmin Pyeongchang2018.com\PCA.OMEGAdmin Pyeongchang2018.com\PCA.WEBAdmin Pyeongchang2018.com\PCA.SDAdmin Pyeongchang2018.com\pca.sqladmin Pyeongchang2018.com\PCA.giwon.nam Pyeongchang2018.com\svc_all_swd_installc Pyeongchang2018.com\PCA.spsadmin Pyeongchang2018.com\test Pyeongchang2018.com\adm.pms Pyeongchang2018.com\COS.SQLAdmin Pyeongchang2018.com\pca.dnsadmin Pyeongchang2018.com\PCA.imadmin Pyeongchang2018.com\pca.perfadmin Pyeongchang2018.com\jaesang.jeong6 Pyeongchang2018.com\pca.dnsadmin2 Pyeongchang2018.com\pca.cpvpnadmin Pyeongchang2018.com\pca.dmzadmin Pyeongchang2018.com\PCA.ERPAdmin Pyeongchang2018.com\PCA.HRAdmin Pyeongchang2018.com\pca.ssladmin Pyeongchang2018.com\pca.mgadmin Pyeongchang2018.com\PCA.SSLVPNAdmin2 Pyeongchang2018.com\pmo_admin Pyeongchang2018.com\admin Pyeongchang2018.com\web_admin Pyeongchang2018.com\cos_admin Pyeongchang2018.com\gms_admin Pyeongchang2018.com\lync.admin Pyeongchang2018.com\crm_admin Pyeongchang2018.com\ips.admin Pyeongchang2018.com\mail.admin TEQUILABOOMBOOM\janettedoe
文字列は一部マスキングしています。
当該事象に関連する記事
| 日付 | 新聞社 | 見出し |
|---|---|---|
| 2018年2月10日(土)夕刊 | 読売新聞 | 五輪施設システム障害 開会式前 組織委「安全に影響なし」 |
| 2018年2月14日(水)朝刊 | 産経新聞 | 平昌開会式にサイバー攻撃(一面記事) |
更新履歴
*1:平昌冬季五輪、サイバー攻撃受けていた 攻撃元については明かされず,AFP通信,2018年2月11日アクセス
*2:IOC·평창조직위, 사이버 공격 확인…안전 위해 세부내용 비공개,Yonhapnews,2018年2月11日アクセス
*3:組織委サーバーにサイバー攻撃、入場券の印刷にも影響,TBS,2018年2月11日アクセス
*4:개회식 때 평창조직위 홈피 사이버 공격…10일 오전 복구,SBS,2018年2月11日アクセス
*5:개회식 때 평창조직위 홈피 사이버 공격..10일 오전 복구,daum.net,2018年2月11日アクセス
*6:平昌冬季五輪、開会式のさなかにネットがダウン 当局が調査,AFP通信,2018年2月11日アクセス
*7:Cyber Attack Disrupts Winter Olympics Website During Opening Ceremony,HackRead,2018年2月12日アクセス
*8:'Olympic Destroyer' malware targeted Pyeongchang Games: firms,Reuters,2018年2月14日アクセス
*9:平昌五輪 開会式当日にサイバー攻撃 入場券は目標達成,毎日新聞,2018年2月25日アクセス
*10:Atos, IT provider for Winter Olympics, hacked months before Opening Ceremony cyberattack,cyberscoop,2018年2月16日アクセス
*11:평창올림픽 개회식 당시 사이버 공격은 해커 소행…무대 난입자는 한국계 미국인,아시아투데이、2018年2月11日アクセス
