揭密：当年奥运会背后的网络暗战和幕后网军真相

01

平昌冬奥会，于 2018 年在韩国举行，在举办前夕，12 月 6 日消息，国际奥委会禁止俄罗斯以国家名义参加平昌冬奥会，举行期间丑闻不断。

2018 年 2 月 24 日，据美国情报，俄罗斯军事间谍对 2018 年韩国冬季奥运会管理人员使用的数百台电脑实施了黑客行动。

2018 年 2 月 26 日，平昌的官员们承认，2018 年 2 月 9 日举行的冬奥会开幕式遭到了网络袭击，但他们拒绝证实袭击是由俄罗斯人发动的。开幕式晚上，互联网、广播系统和奥运会网站都出现了问题。许多观众无法打印他们的入场券，导致座位空置。

而近日，媒体 Wired 发布了一篇报道，作者为 Andy Greenberg，下面这个故事节选自其新书《Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's MostDangerous Hackers》，而 Sandworm 组织在此前我们的关于乌克兰电网分析报告中有详细介绍。

该书将于 2019 年 11 月 5 日出版。

直击网络攻击现场

在 2018 年 2 月 9 日晚上 8 点左右，在韩国东北山区的高处，化名为 A 的平昌奥运会组委会技术总监坐在塑料椅上，他负责监督奥运会的 IT 基础架构的设置，该基础架构包括两个汉城数据中心中的一万多台 PC、两千多种移动设备、六千三百个 Wi-Fi 路由器和三百台服务器。

此时，A 距平昌奥林匹克体育场仅几十米，而 2018 年冬季奥运会开幕式即将开始。

当现场周围的灯光变暗时，现场 35000 人手机屏幕的光芒像萤火虫般在体育场周围萦绕，大量的机器似乎运转良好。

然而，在半个小时前，A 得到了一个棘手的技术问题的消息，反馈的问题根源是一家 IT 承包商，奥运会从这家 IT 公司租用了另外一百台服务器。但是，韩国首尔的数据中心没有报告任何相关问题，因此他们认为承包商的问题是可以解决的。然而，此时的 A，并不知道很多观众已经无法通过打印门票进入会场。

晚上 8 点前十秒，当奥运会开始倒计时期间，A 的三星手机忽然亮起并在 KakaoTalk 接到下属的一个消息：某个东西正在关闭汉城数据中心的每一个域控制服务器，而这些服务器构成了奥运会 IT 基础架构的骨干网络。

当A得知此消息，并急冲冲从出口处的新闻发布区出来时，他周围的记者已经开始抱怨 Wi-Fi 似乎突然停止工作。成千上万的联网电视本应该进行转播，但是屏幕都变黑了。此外通往每座奥运大楼的所有基于 RFID 的安全门都已关闭。奥运会的官方应用程序 （包括其数字票务功能） 也已无法启动，因为试图请求的后端服务器并没有回传数据给它。

要知道，平昌组委会为此做足准备，自 2015 年以来，其网络安全咨询小组已举行了 20 次会议，进行网络攻击演习，甚至包括火灾和地震等灾难。然而，事情还是发生了。而他们的补救措施只能是向记者分发 Wi-Fi 热点，并让工作人员手动检查凭证。

随后，A 在晚上 9 点到达了江陵市的技术运营中心开始抢救，由于故障问题，他们无法访问许多基本服务，诸如邮件服务。排查发现，数据中心中有 9 域服控制服务器均出现不同程度的故障。

遇到这种情况，现场工作人员决定采用一种临时的解决方法：他们将所有仍在运行的服务器单独进行操作，将这些可用的服务器为 Wi-Fi 和互联网电视提供一些基本服务支持，从而先使服务可以上线，并拖延时间以设法在开幕式结束前几分钟将这些可以提供基本服务的系统恢复上线，防止来访的贵宾和观众在结束后发现他们没有 Wi-Fi 连接，也无法访问 Olympics 应用程序。

在接下来的两个小时中，当他们尝试重新启动域控制服务器以重新恢复此前的稳定网络时，工程师们一次又一次地发现服务器已经瘫痪，可以充分说明，他们系统中仍然存在一些恶意的存在，其破坏机器的速度超过了重建机器的速度。

凌晨前几分钟，技术团队无奈地决定采取一种绝望的措施：他们将整个网络从 Internet 上断开，从而试图将其与破坏者隔离开，他们认为破坏者仍然在内部活跃。这意味着必须关闭所有服务，甚至包括奥林匹克运动会的公共网站，同时他们要根除任何恶意软件感染。

这个也就导致后来，pyeongchang2018.com 在一段时间内打不开并被安全社区发现并在外网广泛流传被入侵的原因。

这样的操作进行了第二天凌晨 5 点，韩国安全公司 AhnLab 设法创建了一个防病毒签名，可以帮助机器进行杀毒操作，以抵抗感染了它们的神秘恶意软件。

凌晨 6:30，奥运会的管理员重置了工作人员的密码，从而阻止黑客可能通过凭证进行攻击的行为，后续的代码分析证明他们做对了。

当天上午 8 点左右，也就是奥运会网络攻击开始后几乎正好 12 个小时，技术人员完成了从备份中重建服务器的工作，并开始重新启动所有服务。奥运会也成功举行，然而很多人都不知道，在奥运会开幕式的晚上，有一批人与一个看不见的敌人进行了战斗。

网络蠕虫武器，假旗不断

那么这个神秘的恶意软件到底是什么来头，根据国外安全厂商的报告，红雨滴团队对其中一个关键样本进行了分析。在此之前，先介绍一个概念：假旗行动，英文名为 False flag，是隐蔽行动的一种，指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动。假旗行动在谍报活动中非常常见，此外民间的政治选举也常有采用此法。

而这类行为，放在网络安全界也相当常见，诸如使用其他攻击者常用的网络武器作为自己的武器进行攻击，从而将活动嫁祸于他人。

在本起攻击活动中，提到的假旗体现在网军的网络武器中，以下统称特种木马，缩写特马。其主要往特马本身嵌入了多段其他网军常用的二进制代码特征。

针对奥运会攻击的初始样本 OlympicDestroyer 是一种网络蠕虫，它收集带有主机名的用户凭据，并将新数据附加到现有数据的末尾，从而进一步渗透。

而攻击样本有几点特征，如将管道命名为 123，用作与释放的下面提到的两个窃密文件进行管道通信。

一、释放 PsExec 远程控制工具用于横向移动

二、释放并运行 C:\Users\user\AppData\Local\Temp\_ywl.exe，该 PE 定性为系统销毁器，名称随机。

而 _ywl 会分别通过cmd执行命令：

•  调用 wbadmin.exe 删除系统上所有快照。

• 调用 bcdedit.exe 禁止系统自动修复

• 调用 Wevtutil.exe 清除系统日志

此外，其还会禁用系统上所有服务，并通过服务启动类型 ChangeServiceConfig 函数修改参数为 4，即禁用服务启动。

之后，销毁器还会试图连接文件共享目录，并通过创建文件的形式复写目录中的文件，达到擦除的效果。

在执行完上述操作并休眠一小时后，销毁器关闭了系统，可想而知，当受害者试图打开电脑恢复系统，会发生什么事情。

经红雨滴团队测试后发现，在开启系统后会造成频繁重启且蓝屏的情况，无法进入系统，且安全模式也无法进入，若要进入需要执行恢复系统操作。

从此处便可以看出，攻击者一开始打算便不是出于窃密为目的，而单纯是破坏性行动，从而试图干扰奥运会的举行。从手法上来看，与 NotPetya 和 BadRabbit 勒索软件相似。

而更有趣的是，攻击者采取了一种新颖的攻击手法，其在样本中内嵌了用户凭证，从而利用并进行横向移动。

其中 pyeongchang2018.com 为奥运会官方网址，而攻击者通过域凭证的方式进行横向移动，从而可以确保攻击的均为奥运会工作人员，此外，其通过获取凭证模块进行凭证窃取后，会更新到新的二进制文件中，从而再次进行横向移动的方式进行释放，可以使得权限最大化的利用，类似蠕虫一样的机制。

根据统计，该组织大概获取了 44 个工作人员的凭证。

并且从细节上来看，平昌奥运会系统的内网 IP 疑似也被掌握。

后续通过下面的远程命令，利用 PsExec 和 WMI 进行程序传播。

流程图

网络武器功能大致如上，而代码中实际上在各个环节都存在一些关联到其他攻击活动或者攻击组织的代码。

一、OlympicDestroyer 和 NotPetya 勒索的事件日志清理和禁用系统恢复代码相似。

此外，样本使用 EternalRomance 的利用代码但是并没有调用，而这也成功欺骗了微软

二、Intezer 称与 APT3,APT10 的样本代码存在相似性。

三、与朝鲜 APT 组织 Lazarus 旗下的 BlueNoroff 相关。

上面分析提到的 evtchk.txt 文件名与 BlueNoroff / 使用的文件名 （evtdiag.exe，evtsys.exe 和 evtchk.bat） 非常相似，曾经在 2016 年孟加拉国SWIFT网络抢劫案中使用。并且使用了类似的擦除器代码。

此外，卡巴斯基的研究人员称朝鲜 Lazarus 与 OlympicDestroyer 之间也有很高的相似度。例如，使用相同的技术来解密 Payload。Lazarus 在其恶意软件加载程序中使用了此功能以保护其后门模块免受逆向分析的影响，因为它们包含一些默认的 C2 信息。

尽管该方法很相似，但是用法上还是有很大差异的：

Lazarus 使用了长字母数字密码 （超过 30 个字符） 。相反，OlympicDestroyer 使用了一个非常简单的密码：123。

Lazarus 从未将受保护的有效负载的密码硬编码到恶意软件主体中，但是 OlympicDestroyer 由于需要自我传播，因此需要硬编码操作。

此外，还有一个地方，OlympicDestroyer 的 PE 头中包含以前 Bluenoroff 样本中出现的“ Rich”标记。

按理说，朝鲜与韩国之间的网络攻击活动非常频繁，朝鲜以干扰平昌奥运会为目的发起攻击也许很正常。但是当时金正恩的妹妹也受邀参加了奥运会，这也导致攻击的可能性降低。

此后卡巴斯基在研究分析发现，在同样的环境编译代码，出现的 Rich 标志头的位置均不一致。并且在之后的分析发现，有一个攻击样本于 2018-02-09 13:46:23 从法国上传到 VT。这是针对平昌奥运会攻击活动一个版本的样本，但是一些疏忽暴露了他们是伪造的事实。

1、该攻击样本将关机前的睡眠时间关闭了，也就是上面分析中提到的休眠一小时后关机。

2、编译时间戳为 2018-02-09 10:42:19

3、Rich 标记头位置是符合标准规定的。

以上几个操作都证明了，当时的攻击者可能比较着急发起攻击，因此希望样本启动后就能直接使目标系统关机，因此关闭了休眠操作。毕竟当天晚上 8 点奥运会就会开幕，所以在匆忙编译后，忘记了伪造 Rich 标记便实施了投放。

因此，这也就证实了，OlympicDestroyer 幕后攻击者，试图通过假旗行动，从而掩饰归因，并试图嫁祸于朝鲜。

元凶为俄罗斯军事情报机构 GRU？

在事件爆发后，为了彻底调查归因，FireEye 公司的 Matonis 开始进行溯源分析，与其他安全厂商做法不一样的是，他并没有立马从恶意软件出发，相反，他采用了从 Olympic Destroyer 曾经所投放的钓鱼文档分析出发，而这系列钓鱼攻击释放的均为 Powershell 和 hta 类的木马，并不是之前用来进行破坏性的恶意软件。

发现所有文档均由名为“ AV”，“ BD”或“ john”的人编写构造，而且恶意软件回连的服务器IP地址也存在重叠，继续关联发现有两个在 2017 年针对乌克兰的攻击文档，这也就意味着攻击者有攻击乌克兰的意图，而这背后虽然指向俄罗斯，但是并没有更明显的证据。

经过深入分析，Matonis 发现该组织使用的域名所解析的 IP 中，被解析到一个域名 account-loginserv.com。

而该域名，Matonis 称此前在 FBI 的快讯中，声称俄罗斯 GRU 在 2016 年针对美国的大选中，曾经使用该域名进行攻击。

基于此，其认为，当年攻击奥运会的幕后网军真相大白。

在 Matonis 分析过程中，美国国家安全局 （NSA） 和中央情报局 （CIA） 的两名不愿透露姓名的情报官员告诉《华盛顿邮报》，奥运会是由俄罗斯进行的网络攻击，它试图对朝鲜进行陷害。并将这次袭击专门归咎于俄罗斯军事情报机构 GRU，该机构策划了对 2016 年美国大选的干预和对乌克兰的停电袭击，并发动了 NotPetya 的破坏。

而 Matonis 的分析，再结合美国方面的透露，也许对于针对奥运会发起攻击的幕后黑手轮廓，画像更加准确一些。