卡巴斯基实验室全球研究和分析团队发表了对OlympicDestroyer恶意软件的研究结果，提供技术证据证明恶意软件制作者在蠕虫内部设置了一个非常复杂的伪旗行动，从而迷惑威胁追踪者，无法发现其真正的来源。

　　OlympicDestroyer蠕虫在冬季奥利匹克运动会期间多次登上新闻头条。今年的平昌奥运会遇到了网络攻击，在正式的开幕式之前导致IT系统暂时瘫痪，并且关闭了显示器，切断了Wi-Fi，导致奥运会网站无法显示，使得观众无法通过网站打印门票。卡巴斯基实验室还发现韩国多个滑雪场设施遭到这一蠕虫的攻击，造成滑雪场的大门和缆车无法运营。尽管这次的恶意软件攻击造成的影响有限，但很明显表现出了破坏性，幸运的是，这样的结果并没有发生。

　　尽管如此，网络安全行业的真正兴趣并不在于Destroyer恶意软件攻击造成的潜在危害甚至实际损失，而在于恶意软件的来源。也许没有任何一款其他复杂的恶意软件能够像OlympicDestroyer这样有如此多的归属猜想。这款恶意软件被发现后几天内，来自全球的研究团队根据一些之前不同国家或为这些国家政府工作的黑客的网络间谍活动的特性和破坏者特征，将该恶意软件归属为俄罗斯、中国和朝鲜。

　　卡巴斯基实验室的研究人员也试图发现这款恶意软件背后的黑客组织是谁。在某个研究阶段，他们发现了看上去将这种软件与Lazarus恶意软件100%联系起来的证据。而Lazarus则是一种知名的与朝鲜有关的政府资助的黑客组织。

　　这个结论是基于攻击者留下的独特痕迹。存储在文件中代码开发环境的某些特征的组合可以用作“指纹”，在某些情况下可以识别恶意软件编写者及其他项目。卡巴斯基实验室分析的样本中，发现的指纹与之前已知的Lazarus恶意软件组件100%匹配，与卡巴斯基实验室已知的所有干净文件或恶意文件重叠率为零。结合其攻击策略、技巧和流程（TTP），研究人员得出初步结论，认为OlympicDestroyer是Lazarus黑客组织发起的另一次攻击行动。但是，卡巴斯基实验室在韩国的被攻击现场进行实地调查后发现，这种恶意软件与Lazarus TTPs在动机上和其它地方有很多不一致之处，使得研究人员重新审视了这些罕见的证据。

　　研究人员仔细研究了每个特征的证据和手动验证之后，发现该特征与代码不匹配 ——这种恶意软件的特征已经被伪造成完全符合Lazarus使用的指纹。

　　因此，研究人员得出结论：特征“指纹”是一个非常复杂的伪旗行动，故意放置在恶意软件中，以便给威胁追踪者造成假象，让他们误以为已经找到了确实的证据，让他们无法更准确地对这种威胁进行归属判断。

　　OlympicDestroyer的准确归属仍然是一个悬而未决的问题——它很好地示例了复杂的伪旗行动的执行。但是，卡巴斯基实验室研究人员发现攻击者使用了隐私保护服务NordVPN和名为MonoVM的服务，而且这两个服务商都接受比特币。这些证据以及其他一些已发现的TTP之前曾被使用俄语的威胁组织Sofacy使用过。

WEB安全防护,IPS,大连下一代防火墙,DDOS攻击,7层流量控制,僵尸网络防护,大连数据库安全,漏洞保护,安全隔离,大连访问控制,安全访问,应用识别与控制,网络安全,大连卡巴斯基,恶意软件,网络攻击,卡巴斯基实验室,蠕虫,网络间谍,大连数据库安全,漏洞保护,安全隔离,大连访问控制,安全访问,应用识别与控制,网络安全,WEB安全防护