Un nuevo método de atribución ayudó a Kaspersky Lab a identificar una bandera falsa muy sofisticada durante los Juegos Olímpicos de Pyeongchang.
El equipo mundial de investigación y análisis de Kaspersky Lab ha publicado los resultados de su propia averiguación sobre los ataques del malware Olympic Destroyer, proporcionando evidencia técnica de una bandera falsa muy avanzada que fue colocada por el creador del malware dentro del gusano con el fin de alejar a los cazadores de amenazas de su origen real.
El gusano Olympic Destroyer se ganó algunos titulares durante los Juegos Olímpicos de Invierno de Pyeongchang. Los Juegos experimentaron un ataque cibernético que temporalmente paralizó los sistemas de TI antes de la ceremonia de inauguración oficial; apagó los monitores, eliminó las redes Wi-Fi y dejó sin funcionar el sitio web oficial de la competencia, de manera que los visitantes no pudieran imprimir sus boletos. Kaspersky Lab también descubrió que varias instalaciones de estaciones de esquí en Corea del Sur resultaron afectadas con este gusano, lo que impidió el funcionamiento de las puertas y los teleféricos de los centros turísticos. Aunque el impacto real de los ataques con este malware fue limitado, claramente tenía la posibilidad de ser devastador, lo que afortunadamente no sucedió.
Sin embargo, el verdadero interés de la industria de ciberseguridad no radica en el daño potencial o incluso real causado por los ataques del gusano Destroyer, sino en el origen del malware. Quizás ningún otro malware avanzado haya sido objeto de tantas hipótesis de atribución como el Olympic Destroyer. A los pocos días de su descubrimiento, los equipos de investigación de todo el mundo habían logrado atribuir este malware a Rusia, China y Corea del Norte; basándose en una serie de características atribuidas con anterioridad a agentes de ciberespionaje y el sabotaje supuestamente basados en estos países o trabajando para los gobiernos de estos países.
Los investigadores de Kaspersky Lab también intentaban comprender qué grupo de hackers estaba detrás de este malware. En algún momento de la investigación, se encontraron con algo que parecía una evidencia que conectaba el malware con Lazarus al 100%, un infame grupo respaldado por el estado y vinculado a Corea del Norte.
Esta conclusión se basó en un rastro único dejado por los atacantes, ya que una combinación de ciertas características del entorno de desarrollo del código almacenadas en los archivos puede utilizarse como una «huella dactilar», en algunos casos para identificar a los autores del malware y sus proyectos. En la muestra analizada por Kaspersky Lab, esta huella coincidió al 100% con los componentes, previamente conocidos, del malware Lazarus y sin sobreponerse con cualquier otro archivo limpio o malicioso conocido hasta la fecha por Kaspersky Lab. La combinación, con otras similitudes en tácticas, técnicas y procedimientos (TTP), llevó a los investigadores a la conclusión preliminar de que el Olympic Destroyer era otra operación de Lazarus. Sin embargo, los motivos y otras incoherencias con los TTP de Lazarus descubiertos durante la investigación realizada por Kaspersky Lab en las instalaciones infectadas en Corea del Sur, hicieron que los analistas volvieran a estudiar el raro artefacto.
Tras otra cuidadosa observación de la evidencia y la verificación manual de cada característica, los investigadores descubrieron que el conjunto de características no coincidía con el código, sino que se había falsificado para que coincidiera perfectamente con la huella dactilar utilizada por Lazarus.
Como resultado, se concluyó que la “huella dactilar” de las características, es una bandera falsa muy avanzada, colocada intencionalmente dentro del malware para dar a los cazadores de amenazas la impresión de que habían encontrado pruebas decisivas, lo que les desviaba de la pista hacia una atribución más precisa.
“Hasta donde sabemos, la evidencia que pudimos encontrar no se había utilizado previamente para llegar a una atribución. Sin embargo, los atacantes decidieron usarla, prediciendo que alguien la encontraría. Contaban con el hecho de que la falsificación de este artefacto es muy difícil de probar. Es como si un criminal hubiera robado el ADN de otra persona y lo hubiera dejado en la escena del crimen en vez del suyo. Descubrimos y probamos que el ADN encontrado en la escena del crimen fue dejado allí a propósito. Todo esto demuestra cuánto esfuerzo están dispuestos a gastar los atacantes para permanecer sin ser identificados durante el mayor tiempo posible. Siempre hemos dicho que la atribución en el ciberespacio es muy difícil, ya que se pueden falsificar muchas cosas, y Olympic Destroyer es una ilustración bastante precisa de esto”, dijo Vitaly Kamluk, Director del equipo de investigación de la región APAC en Kaspersky Lab.
“Otra conclusión de esta historia es que la atribución debe tomarse muy en serio. Dado lo politizado que se ha vuelto el ciberespacio recientemente, una atribución equivocada podría llevar a graves consecuencias y los agentes pueden comenzar a tratar de manipular la opinión de la comunidad de seguridad con el fin de influir en la agenda geopolítica”, agregó Kamluk.
Atribuir con precisión el origen del Olympic Destroyer sigue siendo una pregunta abierta, simplemente, porque es un ejemplo único de la implementación de banderas falsas muy avanzadas. No obstante, los investigadores de Kaspersky Lab descubrieron que los atacantes usaban el servicio de protección de la privacidad NordVPN y un proveedor de hosting llamado MonoVM, que acepta Bitcoins. Estas y algunas otras TTP descubiertas anteriormente habían sido utilizadas por Sofacy, el agente de habla rusa.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware Olympic Destroyer.
Lea cómo los investigadores de Kaspersky Lab siguieron la pista de los ataques del Olympic Destroyer en Corea del Sur y Europa en nuestro blog Securelist.