Olympic Destroyer es una amenaza avanzada que atacó a la organización, proveedores y partners de los Juegos Olímpicos de Invierno 2018 de Pyeongchang (Corea del Sur), con una operación de cibersabotaje mediante el uso de un destructivo gusano de red. Muchas pistas apuntaban hacia los diferentes orígenes del ataque, causando en febrero de 2018 cierta confusión en la industria de la seguridad. Algunos detalles descubiertos por Kaspersky Lab sugerían que el grupo Lazarus, un actor de amenazas vinculado a Corea del Norte, se encontraba detrás de la operación. Sin embargo, en marzo de este año, Kaspersky Lab confirmó que la campaña presentaba una operación de bandera falsa muy elaborada y convincente. Los analistas han detectado que la operación “Olympic Destroyer” está de vuelta utilizando algunas de sus herramientas originales de infiltración y reconocimiento, y centrándose en objetivos en Europa.
El actor de amenazas está propagando su malware a través de documentos de phishing que se parecen mucho a aquellos utilizados en la preparación de la operación de los Juegos Olímpicos. Uno de esos documentos señuelo hacía alusión a ‘Spiez Convergence’, una conferencia de amenazas bioquímicas celebrada en Suiza y organizada por el Laboratorio Spiez, una organización que desempeñó un papel clave en la investigación del ataque Salisbury. Otro documento estaba dirigido contra una entidad de la autoridad de control sanitario y veterinario de Ucrania. Algunos de los documentos “spear-phishing” descubiertos por los analistas incluyen palabras en ruso y alemán.
Todas las cargas finales extraídas de los documentos maliciosos se diseñaron para proporcionar acceso genérico a los ordenadores comprometidos. Un marco de código abierto y libre, generalmente conocido como “Powershell Empire”, se utilizó para la segunda fase del ataque.
Los ciberatacantes parecen utilizar servidores web legítimos comprometidos para alojar y controlar el malware. Estos servidores usan Joomla, un popular sistema de administración de contenido de código abierto (CMS). Los analistas encontraron que uno de los servidores que alojaba la carga maliciosa usaba una versión de Joomla (v.1.7.3) lanzada en noviembre de 2011, lo que sugiere que los atacantes podrían haber usado una variante muy anticuada del CMS para hackear los servidores.
Según la telemetría de Kaspersky Lab y los archivos subidos a servicios multi-escáner, el interés de esta campaña de “Olympic Destroyer” parece ser organizaciones en Alemania, Francia, Suiza, Países Bajos, Ucrania y Rusia.
“La aparición a comienzos de este año de Olympic Destroyer, con sus sofisticados intentos de engaño, cambió definitivamente el esquema de atribución y mostró lo fácil que es cometer un error al contar solo con apenas unos fragmentos de la imagen, visibles únicamente para los analistas. El análisis y la disuasión de estas amenazas debe basarse en la cooperación entre el sector privado y los diferentes gobiernos, más allá de las fronteras nacionales. Esperamos que, al compartir públicamente nuestros descubrimientos, los equipos de respuesta a incidentes y los analistas de seguridad se encuentren en mejores condiciones para reconocer y mitigar ese ataque en cualquier momento del futuro”, dice Vitaly Kamluk, analista de seguridad en el equipo GReAT de Kaspersky Lab.
En el ataque anterior durante los Juegos Olímpicos de Invierno, el comienzo de la etapa de exploración tuvo lugar un par de meses antes de la epidemia del destructivo gusano de red automodificable. Es muy posible que Olympic Destroyer esté preparando un ataque parecido con nuevos objetivos, por lo que aconsejamos a las organizaciones de análisis de amenazas biológicas y químicas que estén en alerta máxima y que, de ser posible, realicen una auditoría de seguridad extraordinaria tan pronto cuando sea posible.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware relacionado con el Destructor Olímpico.
Para obtener más información sobre el regreso de Olympic Destroyer, incluidos los indicadores de compromiso, puede leer nuestro blog en Securelist.