Olympic Destroyer: ¿quién hackeó los Juegos Olímpicos?

9 Mar 2018

Hace un tiempo, los países detenían las guerras y dejaban de lado sus diferencias políticas con motivo de los Juegos Olímpicos. Hoy en día, sucede todo lo contrario. Los Juegos Olímpicos de Invierno empezaron con un escándalo: unos hackers desconocidos atacaron los servidores justo antes de la ceremonia de apertura y, como consecuencia, muchos espectadores se quedaron sin asistir a la ceremonia por no poder imprimir sus entradas.

Como resultado del ataque, el malware, apodado Olympic Destroyer, inutilizó el sitio oficial de los Juegos y el wifi del estadio; también afectó a la retransmisión del evento. El Comité Organizador afirmó que estos actos no tendrían consecuencias graves, pero la histeria fue inevitable. Por ello, debemos descubrir qué sucedió y quién está tras este suceso.

Cómo funciona Olympic Destroyer

En lo que respecta al mecanismo de propagación, Olympic Destroyer es un gusano de red. Nuestros expertos han descubierto por lo menos tres de las plataformas que se infectaron de inicio y se usaron para propagar el gusano, estas son pyeongchang2018.com, servidores de red de estaciones de esquí y los servidores de Atos, el proveedor de servicios informáticos.

Desde estas plataformas, el gusano se propagó de forma automática por la red a través de los archivos compartidos en la red de Windows. Por el camino, robó contraseñas guardadas en ordenadores infectados, las almacenó y las usó para su posterior propagación. El objetivo final de Olympic Destroyer era eliminar archivos de unidades de red que el gusano pudiera alcanzar y bloquear los sistemas que infectaba.

¿Quién fue el aguafiestas?

Tanto periodistas como blogueros han rumoreado sobre quién se había atrevido a interrumpir la ceremonia de apertura de los Juegos Olímpicos y por qué. Corea del Norte era sospechosa algo antes de que empezaran los Juegos, de hecho, se supone que había estado espiando los ordenadores del Comité Organizador.

Como era de esperar, todas las miradas se centraron en Rusia, después de todo, solo pudieron competir algunos miembros elegidos del equipo y con restricciones severas, como la prohibición de la bandera nacional. Pero cuando los investigadores detectaron ciertas similitudes entre Olympic Destroyer y el malware creado por ciberdelincuentes chinos, todos acusaron a China.

Kaspersky Lab lo está investigando

Mientras la opinión pública especulaba, los expertos en ciberseguridad buscaban pruebas y Kaspersky Lab también realizó su propia investigación.

Primero, como mucho otros, nuestros expertos sospecharon de los ciberdelincuentes de Corea del Norte, sobre todo del grupo Lazarus, ya que, después de analizar una muestra de Olympic Destroyer, los investigadores encontraron una serie de evidencias que señalaban directamente a Lazarus.

Sin embargo, cuanto más ahondaban en el tema, más contradicciones encontraban. Tras una evaluación más rigurosa de todas las muestras y de un estudio del código, se percataron de que lo que parecía una evidencia concluyente, en realidad era una imitación muy bien hecha.

Además, durante el estudio de Olympic Destroyer, nuestros expertos descubrieron alguna evidencia que apuntaba a un autor muy diferente, el grupo de hackers ruso Sofacy (también conocido como APT28 y Fancy Bear). No obstante, no podemos descartar la posibilidad de que esta evidencia también sea falsa ya que, cuando se trata de ciberespionaje, nunca se puede estar del todo seguro.