MADRID, 9 Mar. (Portaltic/EP) -
Investigadores de la compañía de ciberseguridad Kaspersky Lab han determinado que el ciberataque Olympic Destroyer, que afectó a los Juegos Olímpicos de Invierno de PyeongChang (Corea del Sur), fue desarrollado con el objetivo de imitar 'malware' del grupo de ciberdelincuentes norcoreanos Lazarus y generar confusión sobre su origen.
Kaspersky ha recordado en un comunicado que el gusano Olympic Destroyer protagonizó varios incidentes durante los recientes Juegos Olímpicos de Invierno 2018, como el ciberataque que paralizó temporalmente los sistemas TI antes de la ceremonia inaugural, apagando pantallas, inutilizando la red WiFi y la página web de la competición, e impidiendo a los asistentes imprimir sus entradas. Además, afectó a varias estaciones de esquí surcoreanas.
La compañía rusa ha explicado que, aunque el impacto real de los ataques con este 'malware' fue "limitado", este podía haber sido "devastador". Sin embargo, ha indicado que el "verdadero interés" radica en su origen, que ha planteado un gran número de hipótesis. A los pocos días de su descubrimiento, ha relatado Kaspersky, varios analistas atribuyeron el 'malware' a Rusia, China y Corea del Norte, basándose "en una serie de características previamente atribuidas al ciberespionaje y el sabotaje de actores".
PISTAS FALSAS QUE APUNTABAN A COREA DEL NORTE
Los analistas de Kaspersky Lab encontraron inicialmente "alguna evidencia" que conectaba Olympic Destroyer "al cien por cien" con el 'malware' del grupo Lazarus, vinculado a Corea del Norte. Esta sospecha se basaba en un rastro único de los atacantes, como ha explicado la empresa de ciberseguridad, ya que algunas características del desarrollo del código almacenado en los archivos, utilizada "como huella digital" aportaba una coincidencia total con componentes previamente conocidos del 'malware' Lazarus.
La combinación con otros elementos parecidos en tácticas, técnicas y procedimientos (TTP) llevó a los analistas a la conclusión preliminar de que el Olympic Destroyer era otra operación de Lazarus. Sin embargo, "la motivación y otras incoherencias" con los TTP habituales del grupo norcoreano descubiertos durante la investigación de Kaspersky hicieron que los analistas volvieran a revisarlo.
Así, tras un segundo análisis y una verificación manual de cada característica, los analistas descubrieron que el conjunto "no coincidía con el código", sino que se había construido en realidad "para imitar perfectamente" la huella digital utilizada por Lazarus. Como resultado, los investigadores han concluido que las características de la huella digital eran una "falsa alerta muy sofisticada", colocada "intencionadamente" dentro del 'malware', "obstaculizando" la atribución correcta del origen.
El jefe del equipo de investigación de APAC de Kaspersky Lab, Vitaly Kamluk, ha explicado que esta falsificación es "muy difícil de probar", estableciendo el símil de un criminal que roba el ADN de otra persona y lo deja en la escena del crimen en lugar del suyo. El representante de Kaspersky ha destacado que la atribución debe tomarse "muy en serio", dado lo "politizado" que se ha vuelto el ciberespacio.
Todavía sin poder precisar la atribución de Olympic Destroyer, los analistas de Kaspersky Lab han descubierto que los atacantes usaban el servicio de protección de la privacidad NordVPN y un proveedor de alojamiento llamado MonoVM, que en ambos casos aceptan el pago en bitcóins. Estas y algunas otras TTP fueron utilizadas anteriormente por el grupo de habla rusa Sofacy.
