ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-02-10

平昌オリンピック開会式中のシステム障害についてまとめてみた

| 06:08 |  平昌オリンピック開会式中のシステム障害についてまとめてみたを含むブックマーク

2018年2月8日より韓国で開催されている2018年平昌冬季五輪で、2018年2月9日の開会式直前にシステム障害等のトラブルがあったと報じられました。

ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2018年2月9日19時15分頃平昌五輪組織委員会の内部でシステムトラブルが発生。
開会式会場でWifi等が使用不可。
〃 20時平昌冬季五輪大会開会式が始まる。
2018年2月10日9時頃公式Webサイトの接続障害が解消。(現地時間8時)
〃 午前平昌五輪組織委員会定例会見でシステムの復旧が済んだことと詳細調査中とコメント。
2018年2月11日平昌五輪組織委員会障害原因がサイバー攻撃によるものと明らかにした。*1
2018年2月24日平昌五輪組織委員会は開会式がサイバー攻撃を受けWifi利用に影響が出たと発表。

開会式に関連して確認されたトラブル事象

(1) メインプレスセンターで開会式の映像視聴が中断
(2) 公式Webサイトの一部で接続障害
  • 大会公式の統合ログインサイト(exp.pyeongchang2018.com)のWebサイト上でシステム障害を示すメッセージが表示されていたとの投稿が報道されている。*5
  • 入場チケットを印刷することができなくなる事態が発生した。
  • 障害は内部ネットワークの遮断を受けて発生したものとみられる。
  • 接続障害2018年2月10日8時頃に復旧した模様。
(3) インターネットWifiが利用不可
  • 開会式45分前の19時45分頃より利用ができない状況が発生。
  • 2018年2月10日正午時点で完全復旧はしていない。*6
(4) 撮影で使われる予定のドローンの飛行停止
  • ライブでの撮影ができずあらかじめ録画したビデオを放送した。
  • システム障害による影響かどうかは不明とされている。
  • IOCの広報担当者は突然の計画変更を受けドローンを展開させることが出来なかったとコメント。

システム障害の原因

システム破壊マルウェアOlympic Destroyer」

  • マルウェアからはシステム破壊の機能のみが確認されている。
  • C2と通信するなどのバックドア系の機能は確認されていない。
  • PsEXEC、WMIを用いた端末間での横移動を行う。これはBadRabbits、NotPetyaで見られたもの。
マルウェアの呼称
ベンダ呼称
CiscoOlympic Destroyer
MicrosoftTrojan.Win32/Samcrex
SymantecTrojan.Olydestroy
TrendMicroTROJ_OlympicDestroyer
マルウェアの挙動
資格情報の窃取ブラウザ、システムそれぞれから資格情報を窃取する機能がある。
ブラウザIE,FirefoxChromeを対象としている。
・システムはMjmikatzでも行われているLSASSから資格情報の窃取を試みる。
ネットワーク内への拡散ARPテーブルのスキャンを行う。
WMIを用いてディレクトリ内の全てのシステムリストの取得を試みる。
・ PsExec、WMIを用いて拡散する。
システム破壊・vssadminを用いてシステム上のすべてのシャドウコピーを削除する。
・wbadminを用いてバックアップカタログを削除する。
・bcdeditを用いてスタートアップ修復を無効化する。
・wevtutilを用いてイベントログを削除する。
・システム上のすべてのサービスを無効にする。
・ファイル共有で書き込み権限があるファイルを0で上書きする。
・全ての変更を加えた後にシステムのシャットダウンを実行する。

ハードコードされている資格情報と見られる文字列

以下はVTへのアップロードが確認できた検体9種のサマリー

検体サンプルハードコードされた資格情報VTアップロード日時/国ファイル名コンパイル時間
ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c852018-02-09 13:33:25(フランス_abl.exe2017-12-27 09:03:48
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c28個2018-02-09 13:42:46(フランス_mpw.exe2017-12-27 11:39:22
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d9150164個2018-02-09 14:28:40(オーストリア_wun.exe.vir2017-12-27 11:39:22
28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc10個2018-02-09 14:42:59(フランス_smj.exe2017-12-27 11:39:22
19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea2018-02-09 21:58:48(フランスyrgah.exe2017-12-27 11:44:30
f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c29362018-02-12 16:03:23(フランスfile2017-12-27 11:44:35
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb944個2018-02-09 21:53:49(韓国winlogon.ex_2017-12-27 11:44:47
a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb145個2018-02-09 21:58:58(フランス_mfy.exe2017-12-27 11:44:47
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b02018-02-09 13:46:23(フランスolymp.exe2018-02-09 10:42:19

感染経路に関する情報

  • このマルウェアにどのようにして感染するかはTalos側は把握していない。
  • MicrosoftがEternalRomanceを用いて拡散されたと報告したが、その後Exploitが使用されたかは確証がないとしてまだ調査中とした。

関係組織の対応

平昌五輪組織委員会
  • 組織委員会の宋百裕報道官が次の通りコメント。
    • 重要性が低いシステムのいくつかで影響を受ける事案が発生した。
    • トラブルによる迷惑をかけたことを陳謝する。
    • 現時点では(サイバー攻撃とは)確認されていない。
    • イベントでの混乱は生じず、選手、観客の安心安全にも影響をあたえるものではない。
    • 攻撃元について明らかにはしない。
  • 2月24日の記者会見で李熙範会長が次の通りコメント。*9
    • 開会式がサイバー攻撃を受けた。
    • 一時的に公衆無線LANの使用に影響が生じた。
    • スポンサーと対応を行い、システムの復旧を行った。
    • サイバー攻撃はいつでもおこるものであり、予防していくことが重要。
AtoS
  • AtoSの広報担当者はこの障害についての調査が進行中であるとして次の通りコメント。*10
    • パートナーのMcAfee Advance Threat Research、及び関係当局と調整、対応に当たっている。
    • サイバー攻撃競技クリティカルな中断は引き起こしておらず、円滑な進行を確実とするために作業を継続している。
    • マルウェアにハードコードされた資格情報は攻撃の起源を示すものではない。
IOC
専門チーム

参考情報


検体情報

Olympic Destroyerのサンプル
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016 
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc
19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1
ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936 

その他関連情報

マルウェア内にハードコードされた文字列
  • d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016
ww930\\deb00999
WW930\\w99a1mf0
WW930\\A425253
ATVIES2BQA\\bofh-ro
  • 3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
ww930\\deb00999
WW930\\w99a1mf0
RUVOZ990FILSRV\\MICROSOFT$DPM$Acct
WW930\\a593309
emea\\*****.************
MicrosoftOffice16_Data:SSPI:*****.************@atos.net\\(null)
10.95.47.55\\WW930\\reportadmin
TEQUILABOOMBOOM\\janettedoe
  • 28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc
ww930\\deb00999
WW930\\w99a1mf0
RUVOZ990FILSRV\\MICROSOFT$DPM$Acct
WW930\\a593309
emea\\\*****.************
MicrosoftOffice16_Data:SSPI*****.************@atos.net\\(null)
10.95.47.55\\WW930\\reportadmin
WW930\\A685898
(null)\\********.*********@atos.net
MicrosoftOffice16_Data:SSPI:********.*********@atos.net\\(null)
  • edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
Pyeongchang2018.com\pcadmin
Pyeongchang2018.com\PCA.GMSAdmin
Pyeongchang2018.com\cert01
g18.internal\minadmev
g18.internal\adm.****.*******
g18.internal\adm.*****.*********
Pyeongchang2018.com\PCA.lyncadmin
Pyeongchang2018.com\PCA.lyncadmintest
Pyeongchang2018.com\PCA.SMSAdmin
Pyeongchang2018.com\addc.siem
Pyeongchang2018.com\jinsik.park
Pyeongchang2018.com\pca.infradmin
Pyeongchang2018.com\PCA.KASAdmin
Pyeongchang2018.com\PCA.OMEGAdmin
Pyeongchang2018.com\PCA.WEBAdmin
Pyeongchang2018.com\PCA.SDAdmin
Pyeongchang2018.com\pca.sqladmin
Pyeongchang2018.com\PCA.giwon.nam
Pyeongchang2018.com\svc_all_swd_installc
Pyeongchang2018.com\PCA.spsadmin
Pyeongchang2018.com\test
Pyeongchang2018.com\adm.pms
Pyeongchang2018.com\COS.SQLAdmin
Pyeongchang2018.com\pca.dnsadmin
Pyeongchang2018.com\PCA.imadmin
Pyeongchang2018.com\pca.perfadmin
Pyeongchang2018.com\jaesang.jeong6
Pyeongchang2018.com\pca.dnsadmin2
Pyeongchang2018.com\pca.cpvpnadmin
Pyeongchang2018.com\pca.dmzadmin
Pyeongchang2018.com\PCA.ERPAdmin
Pyeongchang2018.com\PCA.HRAdmin
Pyeongchang2018.com\pca.ssladmin
Pyeongchang2018.com\pca.mgadmin
Pyeongchang2018.com\PCA.SSLVPNAdmin2
Pyeongchang2018.com\pmo_admin
Pyeongchang2018.com\admin
Pyeongchang2018.com\web_admin
Pyeongchang2018.com\cos_admin
Pyeongchang2018.com\gms_admin
Pyeongchang2018.com\lync.admin
Pyeongchang2018.com\crm_admin
Pyeongchang2018.com\ips.admin
Pyeongchang2018.com\mail.admin
  • a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1
Pyeongchang2018.com\pcadmin
Pyeongchang2018.com\PCA.GMSAdmin
Pyeongchang2018.com\cert01
g18.internal\minadmev
g18.internal\adm.****.*******
g18.internal\adm.*****.*********
Pyeongchang2018.com\PCA.lyncadmin
Pyeongchang2018.com\PCA.lyncadmintest
Pyeongchang2018.com\PCA.SMSAdmin
Pyeongchang2018.com\addc.siem
Pyeongchang2018.com\jinsik.park
Pyeongchang2018.com\pca.infradmin
Pyeongchang2018.com\PCA.KASAdmin
Pyeongchang2018.com\PCA.OMEGAdmin
Pyeongchang2018.com\PCA.WEBAdmin
Pyeongchang2018.com\PCA.SDAdmin
Pyeongchang2018.com\pca.sqladmin
Pyeongchang2018.com\PCA.giwon.nam
Pyeongchang2018.com\svc_all_swd_installc
Pyeongchang2018.com\PCA.spsadmin
Pyeongchang2018.com\test
Pyeongchang2018.com\adm.pms
Pyeongchang2018.com\COS.SQLAdmin
Pyeongchang2018.com\pca.dnsadmin
Pyeongchang2018.com\PCA.imadmin
Pyeongchang2018.com\pca.perfadmin
Pyeongchang2018.com\jaesang.jeong6
Pyeongchang2018.com\pca.dnsadmin2
Pyeongchang2018.com\pca.cpvpnadmin
Pyeongchang2018.com\pca.dmzadmin
Pyeongchang2018.com\PCA.ERPAdmin
Pyeongchang2018.com\PCA.HRAdmin
Pyeongchang2018.com\pca.ssladmin
Pyeongchang2018.com\pca.mgadmin
Pyeongchang2018.com\PCA.SSLVPNAdmin2
Pyeongchang2018.com\pmo_admin
Pyeongchang2018.com\admin
Pyeongchang2018.com\web_admin
Pyeongchang2018.com\cos_admin
Pyeongchang2018.com\gms_admin
Pyeongchang2018.com\lync.admin
Pyeongchang2018.com\crm_admin
Pyeongchang2018.com\ips.admin
Pyeongchang2018.com\mail.admin
TEQUILABOOMBOOM\janettedoe

文字列は一部マスキングしています。

当該事象に関連する記事

日付新聞社見出し
2018年2月10日(土)夕刊読売新聞五輪施設システム障害 開会式前 組織委「安全に影響なし」
2018年2月14日(水)朝刊産経新聞平昌開会式にサイバー攻撃(一面記事)

更新履歴