奧運(yùn)會變演習(xí)場

　　近日，一家日本安全公司表示，發(fā)現(xiàn)了一個以奧運(yùn)會為主題的惡意軟件樣本，其中包含擦除受感染系統(tǒng)上全部文件的功能，而且針對的目標(biāo)似乎是日本個人電腦。

　　這款擦除器是在上周三（7月21日）發(fā)現(xiàn)的，也就是2021年東京奧運(yùn)會開幕式的前兩天。

　　根據(jù)日本安全公司Mitsui Bussan Secure Directions（以下簡稱MBSD）分析發(fā)現(xiàn)，該擦除器不是刪除計算機(jī)內(nèi)的所有數(shù)據(jù)，而是只搜索位于用戶個人文件夾（“C:/Users//”0中的某些特定文件類型。

　　刪除目標(biāo)包括包括微軟Office文件，還涉及TXT、LOG以及CSV等常見的存儲日志、數(shù)據(jù)庫與密碼信息類文件。

　　此外，該擦除器還針對使用Ichitaro日語文字處理器創(chuàng)建的文件（下文加粗部分的擴(kuò)展名）。這讓MBSD團(tuán)隊相信，這款擦除器是專門針對日本的計算機(jī)（通常安裝有Ichitaro應(yīng)用程序）而創(chuàng)建的。

　　受影響的擴(kuò)展名：

　　DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTT

　　文件擦除操作

　　該擦除器的其他功能還包括大量反分析與反虛擬機(jī)檢測技術(shù)，以防止惡意軟件被輕易發(fā)現(xiàn)和分析，同時，它還能在操作完成之后將惡意軟件自動刪除。

　　以成人視頻流量作偽裝

　　然而，其最有趣的功能是，在擦除行為發(fā)生時，該擦除器還會使用cURL應(yīng)用訪問XVideos成人視頻網(wǎng)站上的頁面。

　　訪問色情網(wǎng)站URL的惡意軟件

　　MBSD團(tuán)隊認(rèn)為，添加該功能是為了欺騙取證調(diào)查人員，讓他們誤以為擦除行為是在用戶訪問色情網(wǎng)站時感染惡意軟件所致。

　　然而，MBSD團(tuán)隊表示，該擦除器是在 Windows EXE 文件中發(fā)現(xiàn)的，而且文件名被刻意仿冒為常見的PDF形式：[緊急]與東京奧運(yùn)會相關(guān)的網(wǎng)絡(luò)攻擊等違規(guī)報告（[Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe）

　　MBSD研究人員Takashi Yoshikawa與Kei Sugawara在報告中寫道，

　　“由于該惡意軟件使用PDF圖標(biāo)進(jìn)行偽裝，并且僅針對用戶（Users）文件夾下的數(shù)據(jù)，因此可以認(rèn)定該惡意軟件旨在感染那些不具備管理員權(quán)限的用戶?！?/p>

　　目前，研究人員發(fā)現(xiàn)了這款惡意軟件樣本的兩個樣本，并已上傳至VirusTotal。

　　FBI警告可能針對奧運(yùn)會的網(wǎng)絡(luò)攻擊

　　據(jù)悉，就在美國聯(lián)邦調(diào)查局（FBI）向私營行業(yè)發(fā)出“發(fā)現(xiàn)威脅者可能會以今年東京奧運(yùn)會為目標(biāo)”的警報一天后，安全人員便發(fā)現(xiàn)了這款擦除器。

　　事實上，針對奧運(yùn)會的攻擊事件并不是什么新鮮事。過去兩屆奧運(yùn)會期間都發(fā)生過黑客攻擊時間。

　　鑒于興奮劑丑聞，俄羅斯運(yùn)動員被限制參加2016年里約夏季奧運(yùn)會，為此，APT28（又名Fancy Bear（于2016年8月入侵了世界反興奮劑機(jī)構(gòu)（WADA），并泄露了美歐運(yùn)動員的保密醫(yī)療數(shù)據(jù)。

　　在禁令延長至2018年平昌冬奧會之后，俄羅斯黑客又在開幕式期間部署了“奧運(yùn)會毀滅者”（Olympic Destroyer）擦除器，試圖削弱奧運(yùn)組織者的內(nèi)部網(wǎng)絡(luò)。

　　東京奧運(yùn)會期間，禁止俄羅斯運(yùn)動員參賽的禁令仍然有效。所以，此次是否同樣為俄羅斯黑客的“報復(fù)”行為暫未可知。