2018年平昌冬奥会开幕式被恶意软件攻击破坏

此次网络攻击发生的同时，冬奥会官方网站停机12小时，平昌奥林匹克体育场Wi-Fi瘫痪，主新闻中心的电视和互联网出现故障，导致与会者无法打印赛事门票或获取场馆信息。

平昌冬奥会组委会周日证实，在开幕式期间，帮助举办冬奥会的网络遭到了网络攻击，开幕式于当地时间周六上午8点—；那是袭击开始后整整12个小时。

多家网络安全公司周一发布报告，表明造成中断的原因是“破坏性”的雨刷恶意软件，该软件在冬奥会官方网络中使用被盗凭证传播。

思科塔洛斯公司的研究人员称其为“奥运会毁灭者”，雨刷恶意软件主要用于关闭网络和系统，清除数据，而不是窃取信息。

塔洛斯的研究人员不愿就其归属发表评论，但多名安全专家已经开始将奥运会驱逐舰恶意软件归咎于与朝鲜、中国或俄罗斯有关的黑客。

根据Cisco Talos的分析，攻击者非常了解平昌2018网络的系统，并且知道“许多奥运会基础设施的技术细节，例如用户名、域名、服务器名和密码”

“这里考虑的另一个因素是，在这个恶意软件中使用硬编码凭证，也有可能以前奥运基础设施已经妥协，允许这些证书的泄露。”研究人员说。

Olympic Destroyer恶意软件会删除两个凭据窃取程序，一个浏览器凭据窃取程序和一个系统窃取程序，以获取所需的凭据，然后使用PsExec和Windows Management Instrumentation（WMI）传播到其他系统，网络管理员使用两个合法的Windows管理工具来访问网络上的其他PC并在其上执行操作。

研究人员指出，这两个内置工具去年也被Bad Rabbit勒索软件和NotPetya wiper恶意软件滥用。

安装后，该恶意软件会首先删除文件和Windows备份目录的所有可能的“影子”副本，关闭恢复模式，然后删除系统日志以掩盖其踪迹，从而使文件恢复变得困难。

Talos的博客文章写道：“清除所有可用的恢复方法表明，该攻击者无意让机器可用。该恶意软件的唯一目的是破坏主机并使计算机系统离线。”。

由于缺乏支持这一结论的技术证据，以及黑客经常使用技术混淆其操作，因此很难准确地将这一网络攻击归因于特定的群体或民族国家黑客。