Pyeongchang: Olympic Destroyer ist eine lernende Malware

Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen - und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen.

Artikel veröffentlicht am ,
Das Olympische Feuer
Das Olympische Feuer (Bild: Clive Mason/Getty Images)

Eine Malware, die bei den Olympischen Spielen offenbar den Ausfall technischer Systeme bei der Eröffnungsfeier verursacht hat, soll auf den befallenen Rechnern nach Zugangsdaten suchen und bestehende Installationen mit den Informationen aktualisieren. Über den Verbreitungsweg ist nach Angaben von Ciscos Talos-Team bislang nichts bekannt.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) Netzwerk- und Anwendungssupport
    VIVAVIS AG, Bochum
  2. Informatikerin / Webentwicklerin (m/w/d) - Python, SQL, HTML, CSS
    Helmholtz Zentrum München - Deutsches Forschungszentrum für Gesundheit und Umwelt, Neuherberg bei München
Detailsuche

Die Malware wird offenbar über mehrere Stufen auf dem System installiert, wobei für die erste Infektionsdatei ein zufälliger Dateiname verwendet wird. Nach Angaben von Talos sind die Hashes mehrerer untersuchter Dateien aber identisch.

Die Malware versucht, sich im Netzwerk auszubreiten. Dazu wird zunächst die ARP-Tabelle von Windows durchsucht, außerdem wird versucht, über die Windows-Management-Instrumentation alle Rechner in der befallenen Domäne aufzulisten.

Malware kopiert Passwörter

Die Malware nutzt zwei Mechanismen, um Passwörter auszulesen. Einerseits werden im Browser gespeicherte Passwörter heruntergeladen. Unterstützt werden dabei der Internet Explorer, Firefox und Chrome. Außerdem werden auch Systemlogins ausgelesen, dazu wird LSASS mit einem Mechanismus abgefragt, der nach Angaben von Talos Mimikatz ähnelt. Die Liste der kopierten Zugangsdaten wird dann an den Command-and-Control-Server weitergegeben, der bestehende Installationen der Malware mit der aktuellen Liste versorgt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Im nächsten Schritt versucht die Malware, die aktuelle Installation unbenutzbar zu machen. Dafür werden über die Windows-Kommandozeile cmd.exe zunächst mehrere Dateien verändert, um die Nutzung der Wiederherstellungskonsole von Windows zu erschweren. Außerdem wird der Wert für alle auf dem System laufenden Prozesse in der ChangeServiceConfigW-API auf 4 gesetzt - damit werden die Prozesse beim Start nicht mehr geladen. Anschließend wird das System heruntergefahren.

Zwischenzeitlich hat die Malware dazu geführt, dass die Webseite der Olympischen Spiele nicht mehr funktionierte, auch das WLAN im Olympiastadion funktionierte bei der Eröffnungsfeier nicht zuverlässig. Der Ausfall der Webseite führte dazu, dass einige Besucher keine Tickets mehr ausdrucken konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
E-Scooter
Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
Artikel
  1. Vidme: Webseiten blenden ungewollt Pornos ein
    Vidme
    Webseiten blenden ungewollt Pornos ein

    Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

  2. Intel, Playdate, Elektroautos: Elektro boomt, Verbrenner verlieren
    Intel, Playdate, Elektroautos
    Elektro boomt, Verbrenner verlieren

    Sonst noch was? Was am 23. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.

Proctrap 15. Feb 2018

es macht auch nicht viel unterschied, ob ich erst Nutzer x und dann root mache oder...

Truster 15. Feb 2018

Windows 7 kannte noch kein UEFI Boot, in deiner besagten Partition ist nur der Windows...

Truster 15. Feb 2018

Na Sicher!

kotap 15. Feb 2018

Dev Clusterfuck -> Anwaltssoftware für Email -> Problem für Kunden da -> Check APT...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /