Seguridad TI

Olympic Destroyer: malware diseñado para confundir a la comunidad de ciberseguridad

El gusano Olympic Destroyer se ganó algunos titulares durante los Juegos Olímpicos de Invierno de Pyeongchang. Los Juegos experimentaron un ataque cibernético que temporalmente paralizó los sistemas de TI antes de la ceremonia de inauguración oficial; apagó los monitores, eliminó las redes Wi-Fi y dejó sin funcionar el sitio web oficial de la competencia, de manera que los visitantes no pudieran imprimir sus boletos.

Kaspersky Lab también descubrió que varias instalaciones de estaciones de esquí en Corea del Sur resultaron afectadas con este gusano, lo que impidió el funcionamiento de las puertas y los teleféricos de los centros turísticos. Aunque el impacto real de los ataques con este malware fue limitado, claramente tenía la posibilidad de ser devastador, lo que afortunadamente no sucedió.

Sin embargo, el verdadero interés de la industria de ciberseguridad no radica en el daño potencial o incluso real causado por los ataques del gusano Destroyer, sino en el origen del malware. Quizás ningún otro malware avanzado haya sido objeto de tantas hipótesis de atribución como el Olympic Destroyer.

A los pocos días de su descubrimiento, los equipos de investigación de todo el mundo habían logrado atribuir este malware a Rusia, China y Corea del Norte; basándose en una serie de características atribuidas con anterioridad a agentes de ciberespionaje y el sabotaje supuestamente basados en estos países o trabajando para los gobiernos de estos países.

Los investigadores de Kaspersky Lab también intentaban comprender qué grupo de hackers estaba detrás de este malware. En algún momento de la investigación, se encontraron con algo que parecía una evidencia que conectaba el malware con Lazarus al 100%, un infame grupo respaldado por el estado y vinculado a Corea del Norte.

Esta conclusión se basó en un rastro único dejado por los atacantes, ya que una combinación de ciertas características del entorno de desarrollo del código almacenadas en los archivos puede utilizarse como una “huella dactilar”, en algunos casos para identificar a los autores del malware y sus proyectos.

En la muestra analizada por Kaspersky Lab, esta huella coincidió al 100% con los componentes, previamente conocidos, del malware Lazarus y sin sobreponerse con cualquier otro archivo limpio o malicioso conocido hasta la fecha por Kaspersky Lab.

La combinación, con otras similitudes en tácticas, técnicas y procedimientos (TTP), llevó a los investigadores a la conclusión preliminar de que el Olympic Destroyer era otra operación de Lazarus.

Sin embargo, los motivos y otras incoherencias con los TTP de Lazarus descubiertos durante la investigación realizada por Kaspersky Lab en las instalaciones infectadas en Corea del Sur, hicieron que los analistas volvieran a estudiar el raro artefacto.

Tras otra cuidadosa observación de la evidencia y la verificación manual de cada característica, los investigadores descubrieron que el conjunto de características no coincidía con el código, sino que se había falsificado para que coincidiera perfectamente con la huella dactilar utilizada por Lazarus.

Como resultado, se concluyó que la “huella dactilar” de las características, es una bandera falsa muy avanzada, colocada intencionalmente dentro del malware para dar a los cazadores de amenazas la impresión de que habían encontrado pruebas decisivas, lo que les desviaba de la pista hacia una atribución más precisa.

Atribuir con precisión el origen del Olympic Destroyer sigue siendo una pregunta abierta, simplemente, porque es un ejemplo único de la implementación de banderas falsas muy avanzadas.

No obstante, los investigadores de Kaspersky Lab descubrieron que los atacantes usaban el servicio de protección de la privacidad NordVPN y un proveedor de hosting llamado MonoVM, que acepta Bitcoins. Estas y algunas otras TTP descubiertas anteriormente habían sido utilizadas por Sofacy, el agente de habla rusa.

Los productos de Kaspersky Lab detectan y bloquean con éxito el malware Olympic Destroyer.

Lea cómo los investigadores de Kaspersky Lab siguieron la pista de los ataques del Olympic Destroyer en Corea del Sur y Europa en nuestro blog Securelist.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>