CIBERSEGURIDAD

Olympic Destroyer está de vuelta, apuntando a entidades de protección contra amenazas químicas, biológicas y nucleares en Europa

0 80 2 minutos de lectura


Los investigadores de Kaspersky Lab que rastrean la amenaza del Destructor Olímpico que golpeó la famosa apertura de los Juegos Olímpicos de Invierno en Pyeongchang con un gusano de red destructivo han descubierto que el grupo de piratería detrás de él todavía está activo. Parece estar apuntando Alemania, Francia, Suiza, Países Bajos, Ucrania y Rusia, con especial atención a las organizaciones involucradas en la protección contra amenazas químicas y biológicas.

Olympic Destroyer es una amenaza avanzada que afectó a los organizadores, proveedores y socios de los Juegos Olímpicos de Invierno 2018 en Pyeongchang, Corea del Sur, con una operación de ciberabotaje basada en un gusano de red destructivo. Muchos indicadores apuntaron en diferentes direcciones para los orígenes del ataque, lo que causó cierta confusión en la industria de la seguridad de la información en febrero de 2018. Unos pocos signos raros y sofisticados descubiertos por Kaspersky Lab sugirieron que el grupo Lazarus, un actor de amenazas vinculado a Corea del Norte, estaba detrás de la operación. Sin embargo, en marzo, la empresa confirmado que la campaña presentaba una operación de bandera falsa elaborada y convincente, y que era poco probable que Lázaro fuera la fuente. Los investigadores ahora han descubierto que la operación del Destructor Olímpico está nuevamente en acción, utilizando algunas de sus herramientas originales de infiltración y reconocimiento, y enfocándose en objetivos en Europa.

El actor de amenazas está difundiendo su malware a través de documentos de phishing que se asemejan mucho a los documentos armados utilizados en preparación para la operación de los Juegos Olímpicos de Invierno. Uno de esos documentos señuelo se refería a la ‘Convergencia Spiez’, una conferencia sobre amenazas bioquímicas celebrada en Suiza y organizada por el Laboratorio Spiez, una organización que jugó un papel clave papel en la investigación del ataque de Salisbury. Otro documento estaba dirigido a una entidad de la autoridad de control sanitario y veterinario de Ucrania. Algunos de los documentos de spear-phishing descubiertos por los investigadores contienen palabras en ruso y alemán.

Todas las cargas útiles finales extraídas de los documentos maliciosos se diseñaron para proporcionar acceso genérico a las computadoras comprometidas. Para la segunda etapa del ataque se utilizó un marco de trabajo libre y de código abierto, ampliamente conocido como Powershell Empire.

Los atacantes parecen utilizar servidores web legítimos comprometidos para alojar y controlar el malware. Estos servidores utilizan un popular sistema de gestión de contenido (CMS) de código abierto llamado Joomla. Los investigadores encontraron que uno de los servidores que alojaban la carga útil maliciosa usaba una versión de Joomla (v1.7.3) lanzada en noviembre de 2011, lo que sugiere que los atacantes podrían haber utilizado una variante muy desactualizada del CMS para piratear los servidores.

Según la telemetría de Kaspersky Lab y los archivos cargados en servicios de múltiples escáneres, los intereses de esta campaña del Destructor Olímpico parecen haber sido entidades en Alemania, Francia, Suiza, Países Bajos, Ucrania y Rusia.

“La aparición, a principios de este año, de Olympic Destroyer con sus sofisticados esfuerzos de engaño, cambió el juego de la atribución para siempre y mostró lo fácil que es cometer un error con solo fragmentos de la imagen que son visibles para los investigadores. El análisis y la disuasión de estas amenazas deben basarse en la cooperación entre el sector privado y los gobiernos a través de las fronteras nacionales. Esperamos que al compartir nuestros hallazgos públicamente, los encargados de responder a incidentes y los investigadores de seguridad estén en una mejor posición para reconocer y mitigar un ataque de este tipo en cualquier etapa en el futuro «. dijo Vitaly Kamluk, investigador de seguridad del equipo GReAT de Kaspersky Lab.

En el ataque anterior, durante los Juegos Olímpicos de Invierno, el comienzo de la etapa de reconocimiento fue un par de meses antes de la epidemia del gusano de red destructivo que se modifica a sí mismo. Es muy posible que Olympic Destroyer esté preparando un ataque similar con nuevos motivos. Es por eso que recomendamos a las entidades de investigación de amenazas biológicas y químicas que se mantengan en alerta máxima y lancen una auditoría de seguridad fuera de horario cuando sea posible.

Publicaciones relacionadas

Los usuarios no capacitados y maliciosos son la principal causa de preocupación entre los profesionales de TI del Reino Unido

La seguridad en la nube sigue siendo la principal preocupación para la mayoría de los profesionales de la seguridad,

Mindtree es reconocida como estrella en ascenso por el informe ISG sobre servicios en la nube.

Panel asesor de IA creado por Google.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar