top of page

Reaparece el malware de Olympic Destroyer

Jose Vargas

Olympic Destroyer es una amenaza avanzada que atacó a la organización, proveedores y partners de los Juegos Olímpicos de Invierno 2018 de Pyeongchang (Corea del Sur), con una operación de cibersabotaje mediante el uso de un destructivo gusano de red.

Muchas pistas apuntaban hacia los diferentes orígenes del ataque, causando en febrero de 2018 cierta confusión en la industria de la seguridad. Algunos detalles descubiertos por Kaspersky Lab sugerían que el grupo Lazarus, un actor de amenazas vinculado a Corea del Norte, se encontraba detrás de la operación. Sin embargo, en marzo de este año, Kaspersky Lab confirmó que la campaña presentaba una operación de bandera falsa muy elaborada y convincente. Los analistas han detectado que la operación “Olympic Destroyer” está de vuelta utilizando algunas de sus herramientas originales de infiltración y reconocimiento, y centrándose en objetivos en Europa.

El actor de amenazas está propagando su malware a través de documentos de phishing que se parecen mucho a aquellos utilizados en la preparación de la operación de los Juegos Olímpicos. Uno de esos documentos señuelo hacía alusión a ‘Spiez Convergence’, una conferencia de amenazas bioquímicas celebrada en Suiza y organizada por el Laboratorio Spiez, una organización que desempeñó un papel clave en la investigación del ataque Salisbury. Otro documento estaba dirigido contra una entidad de la autoridad de control sanitario y veterinario de Ucrania. Algunos de los documentos “spear-phishing” descubiertos por los analistas incluyen palabras en ruso y alemán.

Los ciberatacantes parecen utilizar servidores web legítimos comprometidos para alojar y controlar el malware. Estos servidores usan Joomla, un popular sistema de administración de contenido de código abierto (CMS). Los analistas encontraron que uno de los servidores que alojaba la carga maliciosa usaba una versión de Joomla (v.1.7.3) lanzada en noviembre de 2011, lo que sugiere que los atacantes podrían haber usado una variante muy anticuada del CMS para hackear los servidores.

“La aparición a comienzos de este año de Olympic Destroyer, con sus sofisticados intentos de engaño, cambió definitivamente el esquema de atribución y mostró lo fácil que es cometer un error al contar solo con apenas unos fragmentos de la imagen, visibles únicamente para los analistas. El análisis y la disuasión de estas amenazas deben basarse en la cooperación entre el sector privado y los diferentes gobiernos, más allá de las fronteras nacionales. Esperamos que, al compartir públicamente nuestros descubrimientos, los equipos de respuesta a incidentes y los analistas de seguridad se encuentren en mejores condiciones para reconocer y mitigar ese ataque en cualquier momento del futuro”, meniconó Vitaly Kamluk, analista de seguridad en el equipo GReAT de Kaspersky Lab.

Comments


bottom of page