El gusano Olympic Destroyer se ganó algunos titulares durante los Juegos Olímpicos de Invierno de Pyeongchang. Los Juegos experimentaron un ataque cibernético que, temporalmente, paralizó los sistemas de TI antes de la ceremonia de inauguración oficial.
El malware fue capaz de apagar los monitores, eliminar las redes Wi-Fi y dejar sin funcionamiento al sitio web oficial de la competencia, de manera que los visitantes no pudieran imprimir sus boletos.
No obstante, una nueva investigación deja en evidencia que Olympic Destroyer no solo perjudicó a los Juegos, sino que varias instalaciones de estaciones de esquí en Corea del Sur también resultaron afectadas, lo que impidió el funcionamiento de las puertas y los teleféricos de los centros turísticos.
Aunque el impacto real de los ataques con este malware fue limitado, claramente tenía la posibilidad de ser devastador.
¿QUIÉN ESTUVO DETRÁS DE OLYMPIC DESTROYER?
Quizás ningún otro malware avanzado haya sido objeto de tantas hipótesis como Olympic Destroyer.
A horas de su descubrimiento, los equipos de investigación de todo el mundo atribuían este malware a Rusia, China y Corea del Norte, basándose en una serie de características atribuidas, con anterioridad, a agentes de ciberespionaje y sabotaje basados en estos países o que, en su defecto, podrían estar trabajando para los gobiernos de estos países.
Ello motivó a los investigadores de Kaspersky Lab a intentaban comprender qué grupo de hackers estaba detrás de este malware.
Según explican mediante un comunicado de prensa, en algún momento de la investigación, se encontraron con algo que parecía ser una evidencia que conectaba el malware con Lazarus al 100%, un grupo respaldado por y vinculado a Corea del Norte.
Esta conclusión se basó en un rastro único dejado por los atacantes, ya que una combinación de ciertas características del entorno de desarrollo del código almacenadas en los archivos puede utilizarse como una “huella dactilar”, en algunos casos para identificar a los autores del malware y sus proyectos. En la muestra analizada, esta huella coincidió al 100% con los componentes, previamente conocidos del malware Lazarus.
La combinación con otras similitudes en tácticas, técnicas y procedimientos (TTP), llevó a los investigadores a la conclusión preliminar de que el Olympic Destroyer era otra operación de Lazarus. Sin embargo, los motivos y otras incoherencias con los TTP de Lazarus descubiertos durante la investigación realizada en las instalaciones infectadas en Corea del Sur, hicieron que los analistas volvieran a estudiar el caso.
Tras otra cuidadosa observación de la evidencia y la verificación manual de cada característica, los investigadores descubrieron que el conjunto de características no coincidía con el código, sino que se había falsificado para que coincidiera con la huella dactilar utilizada por Lazarus.
Como resultado, se concluyó que la “huella dactilar” de las características, era una bandera falsa muy avanzada colocada, intencionalmente, dentro del malware para dar a los cazadores de amenazas la impresión de que habían encontrado pruebas decisivas, lo que les desviaba de la pista hacia una atribución más precisa.
Vitaly Kamluk, Director del equipo de investigación de la región APAC en Kaspersky Lab, señala que es muy probable que los atacantes decidieran usarla, prediciendo que alguien la encontraría.
“Es como si un criminal hubiera robado el ADN de otra persona y lo hubiera dejado en la escena del crimen en vez del suyo. Descubrimos y probamos que el ADN encontrado en la escena del crimen fue dejado allí a propósito. Todo esto demuestra cuánto esfuerzo están dispuestos a gastar los atacantes para permanecer sin ser identificados durante el mayor tiempo posible”, explica.
A pesar de lo anterior, Kamluk dice que atribuir con precisión el origen del Olympic Destroyer sigue siendo una pregunta abierta, simplemente, porque es un ejemplo único de la implementación de banderas falsas muy avanzadas.
