Ampliar / Rusia no podía competir bajo su propia bandera en PyeongChang y EE. UU. Los funcionarios sugieren que utilizaron un ataque de malware de “bandera falsa” para interrumpirlos. Getty Images
El ataque cibernético que interrumpió algunas redes y servidores en el apertura de los Juegos Olímpicos de Invierno en PyeongChang dejó una serie de pistas forenses conflictivas sobre su origen. El ataque usó un combinación de técnicas, herramientas y prácticas que combinan el huellas digitales de grupos de amenaza conectados a Corea del Norte, China y Rusia.
Pero según un informe de Ellen Nakashima de Washington Post, los funcionarios de inteligencia de Estados Unidos han determinado con algunos confianza en que el ataque fue de hecho una operación de “bandera falsa” organizado por personas que trabajan en nombre de una inteligencia rusa agencia: un ataque que fue tan lejos como para enrutar el tráfico a través de IP direcciones asociadas con Corea del Norte para enmascarar el ataque origen.
Otras lecturas
Apertura de los Juegos Olímpicos de Invierno de Pyeongchang interrumpida por un ataque de malware
A raíz del ataque del 9 de febrero, que afectó a los servidores web y enrutadores de red conectados a la organización de los Juegos de Invierno comité, incluida la red del centro de prensa, Wi-Fi público redes y servidores web asociados con la venta de entradas para Eventos de juegos: varias empresas de seguridad evaluaron rápidamente el malware conectado al ataque. La evaluación inicial del malware mostró Algunos puntos en común en las técnicas con NotPetya, el malware “wiper” atribuido a Rusia por la inteligencia del Reino Unido y Estados Unidos. Laboratorios Talos de Cisco Más tarde revisó su informe, publicado originalmente el 12 de febrero, después de descubrir que las muestras de malware realmente se utilizan herramientas de robo de credenciales para obtener inicios de sesión y contraseñas y luego escribió esas credenciales en el código utilizado para propagar la infección a través de la red.
Hoy, los investigadores de Talos Paul Rascagneres y Martin Lee advirtió contra hacer una atribución por el ataque, como forense del malware sugirió tres posibles atacantes diferentes. “Los actor de amenaza responsable del ataque ha incluido a propósito evidencia para frustrar a los analistas y llevar a los investigadores a falsas banderas de atribución “, escribió el par”. Esta falsa atribución podría envalentonar a un adversario para negar una acusación, citando públicamente evidencia basada en afirmaciones falsas de terceros involuntarios “.
Los investigadores encontraron que, además de las similitudes con NotPetya, el malware “Destructor olímpico” (como lo llamó Talos) utilizado una convención de nomenclatura de archivos similar a la utilizada en SWIFT malware bancario utilizado por una sucursal de Lazarus de Corea del Norte Grupo: adicionalmente, pequeños fragmentos de código dentro de el malware tenía características distintivas del trabajo de tres chinos diferentes grupos de amenaza. El uso de estos telltales es un clásico trabajo “anti forense” de los atacantes, lo que hace que la atribución sea muy importante más difícil basado solo en el malware en sí.
Pero Talos no determinó cómo llegaron los atacantes en la red en primer lugar. El informe Post ofrece un posible explicación y posiblemente una mejor atribución: EE. UU. funcionarios de inteligencia le dijeron al Post que los enrutadores en Corea del Sur había sido comprometido antes de los Juegos Olímpicos. Esos funcionarios cree que los enrutadores fueron comprometidos por atacantes en el empleo de GRU, la agencia de inteligencia extranjera más grande de Rusia. Comprometido los enrutadores podrían haber permitido a los atacantes redirigir la red tráfico, permitiendo la vigilancia del tráfico o “hombre en el ataques intermedios, incluida la inyección de malware en la red tráfico.
Las herramientas de explotación de enrutadores han sido generalmente el dominio de agencias de inteligencia del estado. Documentos filtrados por Edward Snowden mostró que la Agencia de Seguridad Nacional utilizó este tipo de capacidades como parte de Turbine, el sistema automatizado de ataque cibernético componente del kit de herramientas de Operaciones de acceso a medida de la NSA. En el caso del ataque olímpico, los funcionarios le dijeron al Post que los miembros de el principal centro de tecnología especial de GRU (GTsST) fue el más posibles culpables. También se cree que GTsST fue responsable para NotPetya, según la CIA.
Otras lecturas
El motor de hackeo automatizado de la NSA ofrece el sistema manos libres de mundo
El motivo también juega un papel importante en la mayoría de las llamadas de atribución, y Rusia tenía el motivo más obvio entre los tres potenciales atacantes: recuperación de la inversión del Comité Olímpico Internacional prohibición de muchos atletas rusos de los Juegos y su negativa a Permitir que los atletas rusos participen como representantes de Rusia. También existe el historial de piratería olímpica anterior de Rusia: ataques contra la Agencia Mundial Antidopaje (AMA) y los Juegos Olímpicos funcionarios en los Juegos Olímpicos de verano de 2016 en Brasil han sido atribuido a la inteligencia rusa.
