Ciberataque en la ceremonia de los Juegos Olímpicos de Invierno en Pyeongchang
La ceremonia de apertura de los Juegos Olímpicos de Invierno que se realizan en Pyeongchang (Corea del Sur), empezó de la manera más entretenida para la organización del evento multideportivo, realizado cada 4 años bajo la supervisión y administración del Comité Olímpico Internacional.
Los rumores que más se escuchan estas semanas sobre los ataques, es la posible descalificación de Rusia por el escándalo de dopaje de sus deportistas, una de las principales sospechas que sobrevuelan este suceso, aunque también existen opiniones de investigadores que sitúan a los culpables en Corea del Norte o incluso China. La atribución del ciberataque sin embargo tiene escasas pruebas técnicas que ayude a especificar un grupo concreto o estado.
En su inicio el ataque dejó inactivo durante 12 horas la web oficial Olympic.org , colapsando también el Wi-Fi del estadio olímpico, así como los televisores. El ataque confirmado por el comité que organiza los Juegos Olímpicos impidió en primeros momentos a los asistentes imprimir sus entradas, así como obtener información sobre los lugares de los eventos y por supuesto, impidió realizar su trabajo de forma óptima a los periodistas que se encontraban en el centro de prensa.
Las empresas de ciberseguridad como Cisco Talos ya han publicado informes esta semana hablando sobre este Malware bautizazo como Olympic Destroyer, que parece se ha propagado por la red oficial de los Juegos de Invierno utilizando credenciales robadas.
¿Cómo actúa el Malware Olympic Destroyer?
El Malware no sólo pretende detener procesos para el correcto arranque del SO, sino también eliminarlos junto con la configuración de manera que impida la restauración de los archivos, desactivando también el modo recuperación y borrando los registros del sistema para cubrirse, posteriormente se propaga a través de la red para continuar borrando información, utilizando PsExec y Windows Management Instrumentation (WMI), ambas herramientas de administración de Windows. Su propósito final según los investigadores sería entonces dejar el equipo fuera de línea y por lo tanto no operativo, dificultando al máximo la recuperación de archivos.
“Limpiar todos los métodos de recuperación disponibles muestra que este atacante no tenía intención de dejar la máquina utilizable. El único objetivo de este malware es realizar la destrucción del host y dejar el sistema informático fuera de línea” Talos
Este Malware tiene también la posibilidad de convertirse en una amenaza aún más grande, actualizándose y convirtiéndose en Keylogger, lo que facilitaría el robo de más contraseñas y el acceso a más información, para su expansión. Un flujo de ataque que Cisco Talos compara con fenómenos anteriores como Bad Rabbit ransomware y NotPetya wiper malware.
Imagen del informe de Cisco Talos. Código de ejecución remota
Bitdefender habla de la posibilidad de que el Script empleado sea EternalRomance, el cuál formó parte de la NSA y fue robado por Shadow Brokers el año pasado.
¿Cómo pudieron llevar a cavo el ataque?
Todo parece indicar que los atacantes cuentan con un amplio conocimiento de los sistemas de red de Pyeongchang, posiblemente porque infectaran previamente la infraestructura para hacerse con los nombres del servidor y las contraseñas, al menos esa es la postura de Cisco en referencia a este asunto.
Recursos y documentación:
- Análisis de Cisco Talos — Olympic Destroyer Takes Aim At Winter Olympics
- Virustotal — Muestra del Virus Olympic Destroyer
- Tweet Craig Williams — Director de Talos
- The Guardian — Winter Olympics was hit by cyber-attack, officials confirm
- Olympic.org — Información oficial sobre PyeongChang 2018
- Bleeping Computer — Olympic Destroyer Data-Wiping Malware Is More Complex Than Previously Thought
