Die Schweiz im Visier der Malware "Olympic Destroyer"

Ein Dokument der Angreifer ist getarnt als Medienmitteilung des Labor Spiez. Bild: Kaspersky
Pünktlich zur Eröffnungsfeier der Olympischen Spiele in Südkorea am 9. Februar wurde die Malware "Olympic Destroyer" aktiviert. In der Folge kam es zu Störungen der IT-Infrastruktur der Veranstalter. Nun melden Experten von Kasperky Lab, dass die Gruppe hinter dem Angriff noch aktiv sei und sich Ziele auch in der Schweiz ausgesucht habe. Sie würde mit dem teilweise selben Werkzeug-Kasten Zielobjekte in Europa angreifen, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.
 
So würde Malware über Spear-Phishing-Dokumente verbreitet, die bei den Operationen gegen die Olypmischen Spiele benutzten Dokumente sehr ähnlich seien. Eines der Dokumente nimmt auf die "Spiez Convergence" Bezug. Dabei handelt es sich um eine Konferenz zu biochemischen Bedrohungen, die im Herbst 2018 in der Schweiz stattfindet und vom Labor Spiez veranstaltet wird. Dieses spielte bei der Untersuchung des Skripal-Falls eine führende Rolle, bei dem es im März um die Vergiftung eines Überläufer des russischen Militärnachrichtendienstes ging.
 
Wenn Mitarbeiter von betroffenen Institutionen die Dokumente öffnen, kapert die Malware "Olympic Destroyer" ihr Gerät und bindet dieses in eine Command-and-Control-Infrastruktur ein. Die technischen Details hat Kaspersky in einem Blogeintrag festgehalten.
 
Der Angriff auf Ziele in der Schweiz, Deutschland, Frankreich, der Niederlande, der Ukraine und Russland konnte bislang keiner konkreten Gruppe zugeordnet werden. Als die Malware im Februar auftauchte, wurde erst Nordkorea verantwortlich gemacht, bis sich herausstellte, dass es sich um eine False-Flag-Operation gehandelt hatte.
 
"Als Anfang des Jahres Olympic Destroyer mit seinen ausgefeilten Täuschungsmanövern auftauchte, wurde offensichtlich, dass sich das Spiel mit der Attribuierung – also der Zuschreibung – von Angriffen für immer verändern wird", so Vitaly Kamlyuk, Sicherheitsforscher bei Kaspersky Lab.
 
Bislang seien die Aktivitäten der Kriminellen noch nicht zerstörerisch, so Kaspersky. Die Firma rät aber Einrichtungen zur Erforschung von biologischen und chemischen Bedrohungen ausserplanmässige Sicherheitsaudits durchzuführen. (ts)