Olympic Destroyer o cómo confundir a la comunidad de la ciberseguridad

kaspersky_iotEl gusano Olympic Destroyer protagonizó algunos titulares durante los recientes Juegos Olímpicos de invierno de Corea. Los Juegos Olímpicos de Pyeongchang sufrieron un ciberataque que, temporalmente, paralizó los sistemas TI antes de la ceremonia de inauguración oficial: apagó las pantallas, tumbó la red Wi-Fi y la web de los Juegos, impidiendo a los visitantes imprimir sus entradas. Kaspersky Lab también descubrió que varias estaciones de esquí en Corea del Sur se vieron afectadas por este gusano, con problemas de funcionamiento de puertas y remontes. Aunque el impacto real de los ataques con este malware fue limitado, podía haber sido devastador.

Sin embargo, el verdadero interés para la industria de ciberseguridad no radica en el daño potencial o real causado por los ataques de Olympic Destroyer, sino en el origen del malware. Es posible que ningún otro malware sofisticado haya planteado tantas hipótesis como este. A los pocos días de su descubrimiento, equipos de analistas de todo el mundo atribuyeron este malware a Rusia, China y Corea del Norte, basándose en una serie de características previamente atribuidas al ciberespionaje y el sabotaje de actores supuestamente radicados en estos países, o trabajando para los gobiernos de esos países.

Los analistas de Kaspersky Lab intentaron averiguar qué grupo podría estar detrás de este malware. En algún momento de la investigación encontraron alguna evidencia que lo conectaba al 100% con el malware con Lazarus, un perverso grupo vinculado a Corea del Norte. Esta sospecha se basaba en un rastro único de los atacantes.

La combinación de algunas características del entorno de desarrollo del código almacenado en los archivos puede utilizarse como “huella digital”, que, en algunos casos, permite identificar a los autores del malware. En la muestra analizada, la huella aportó una coincidencia del 100% con componentes previamente conocidos del malware Lazarus, y cero superposiciones con cualquier otro archivo limpio o malicioso conocido hasta la fecha por Kaspersky Lab. La combinación con otros elementos parecidos en tácticas, técnicas y procedimientos (TTP) llevó a los analistas a la conclusión preliminar de que el Olympic Destroyer era otra operación de Lazarus. Sin embargo, la motivación y otras incoherencias con los TTP de Lazarus descubiertos durante la investigación realizada por Kaspersky Lab en

las instalaciones comprometidas en Corea del Sur, hicieron que los analistas volvieran a revisarlo.

Tras otro cuidadoso análisis y una verificación manual de cada característica, los analistas descubrieron que el conjunto no coincidía con el código: en realidad se había construido para imitar perfectamente la huella digital utilizada por Lazarus.

Como resultado, los analistas concluyeron que las características de la “huella digital” eran una falsa alerta muy sofisticada, colocada intencionadamente dentro del malware, obstaculizando la atribución correcta del origen.

“Hasta donde sabemos, la evidencia que pudimos encontrar no se había utilizado previamente para la atribución. Sin embargo, los ciberdelincuentes decidieron usarlo, sabiendo que alguien lo encontraría. La falsificación es muy difícil de probar. Es como si un criminal hubiera robado el ADN de otra persona y lo hubiera dejado en la escena del crimen en vez del suyo. Descubrimos y probamos que el ADN encontrado lo dejaron allí a propósito. Todo esto muestra los esfuerzos que están dispuestos a hacer los ciberatacantes para impedir su identificación. Siempre hemos dicho que la atribución en el ciberespacio es algo muy difícil ya que se pueden falsificar muchas cosas, y Olympic Destroyer es un ejemplo evidente”, comenta Vitaly Kamluk, jefe del equipo de investigación de APAC de Kaspersky Lab.

“Para nosotros, otra conclusión importante es que la atribución debe tomarse muy en serio. Dado lo politizado que se ha vuelto el ciberespacio, una atribución equivocada podría tener graves consecuencias. Los actores pueden tratar de manipular la opinión de la comunidad de seguridad con el fin de influir en la agenda geopolítica”, añade.

La atribución precisa de Olympic Destroyer sigue siendo una pregunta sin respuesta, porque es el único ejemplo de implementación de falsos avisos sofisticados detectado. Sin embargo, los analistas de Kaspersky Lab descubrieron que los atacantes usaban el servicio de protección de la privacidad NordVPN y un proveedor de alojamiento llamado MonoVM, ambos aceptan Bitcoins. Estas y algunas otras TTP descubiertas anteriormente, fueron utilizadas anteriormente por Sofacy, el conocido actor de habla rusa.

Los productos de Kaspersky Lab detectan y bloquean con éxito el malware de Olympic Destroyer.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s