Malware Data-Wiping ataca los juegos Olimpicos de Invierno
El malware Data-Wiping es el culpable de los problemas de TI informados durante la ceremonia de apertura de los Juegos Olimpicos de Invierno PyeongChang 2018.
Los problemas, informados por primera vez el viernes 9 de febrero por el periódico británico The Guardian, consistieron en fallas en los sistemas de Internet y televisión para los periodistas que asistieron e informaron sobre la ceremonia de apertura.
Aunque en un principio, organizadores de los Juegos estaban en silencio, los funcionarios finalmente admitieron el domingo que los fracasos se tratara de ningún accidente y su red ha sido victima de un ataque informático malicioso y coordinada.
El malware no intenta robar datos de los servidores comprometidos
Nuevos detalles acerca de estos ataques salieron a la luz el 12 de febrero, cuando los investigadores de seguridad de la división de Cisco Talos publicaron las nuevas investigaciones sobre el malware utilizado por los atacantes.
Según los investigadores de Cisco, los atacantes desplegaron una cepa de malware nunca antes visto que tenia la intención de destrucción de datos y la destrucción de datos solamente.
"No parece haber ninguna exfiltración de datos", investigadores de Cisco Talos Warren Mercer y Paul Rascagneres dijeron de este malware, al que llamaron Destructor Olimpico. "Las muestras analizadas parecen realizar sólo funcionalidad destructiva".
"La naturaleza destructiva de este malware tiene como objetivo hacer que la máquina inservible mediante la supresión de las instantáneas, registros de eventos y tratando de utilizar PsExec y WMI para seguir avanzando a través del medio ambiente. Esto es algo que hemos visto previamente con BadRabbit y Nyetya," Mercer y Rascagneres adicional.
¿Cómo se lleva el ataque destructivo?
Cisco cuenta con un análisis en profundidad de esta amenaza, pero que resume como un ataque destructor Olimpico a continuacuib los pasos fáciles de entender:
- Hackers caen Destructor Olympic en un sistema (método inicial de compromiso es actualmente desconocido).
- Destructor Olimpico despliega dos archivos (un ladrón de credenciales del navegador y un sistema de credenciales ladrón).
- El ladrón de credenciales navegador reúne las credenciales de Internet Explorer, Firefox y Chrome.
- Las credenciales del sistema ladrón reúne las credenciales de la LSASS de Windows (Local Security subsistema de autoridad de Servicio) con una técnica similar a la utilizada por Mimikatz.
- Cheques destructor Olimpicos Tabla ARP para las máquinas locales.
- Destructor Olimpico utiliza WMI para encontrar otros hosts en la misma red.
- Destructor Olympic se propaga a otros anfitriones a través de credenciales robadas y utilizando credenciales codificadas de forma rigida almacenados dentro de su binario (mediante el empleo de la herramienta legitima PsExec).
- El comportamiento destructivo comienza en el host original utilizando VSSAdmin eliminar instantáneas de volumen (dificulta la futura recuperación de datos).
- Destructor Olimpico utiliza cmd.exe y WBADMIN.EXE borrar tranquilamente el catálogo de copia de seguridad del sistema operativo (dificulta la recuperación de datos en el futuro).
- Destructor Olimpico utiliza cmd.exe y BCEdit.exe para desactivar la previa al arranque de la consola de recuperación de Windows (sistema operativo no intenta repararse a si mismo).
- Destructor Olimpico borra los registros de eventos del sistema y la seguridad de Windows para ocultar sus pistas.
- Destructor Olimpico desactiva todos los servicios de Windows en el PC.
- Destructor olimpica se apaga la máquina, dejándolo incapaz de comenzar.
En cuanto a la atribución, las cosas no son claras, ya que siempre han estado cuando se trata de operaciones de espionaje cibernético. Los dos culpables más obvios son Corea del Norte (Corea del Sur y Corea del Norte siguen siendo técnicamente en guerra, Corea del Norte tiene una larga historia de la pirateria su vecino del sur) y Rusia (ICO ha prohibido recientemente un gran número de atletas rusos de participar en los Juegos Olimpicos ).
Sin embargo, algunos observadores serán rápidos en la idea de que esto es más probable una operación cibernética rusa.
Las razones son muchas, empezando con una cuenta de Twitter que muchos creen que es operado por la inteligencia rusa y que recientemente se ha deshecho de grandes cantidades de información hackeado en un intento de manchar el Comité Olimpico Internacional después de su prohibición de los atletas rusos.
Además, Destructor Olimpico y Bad Rabbit ambos utilizan credenciales codificadas por el movimiento lateral, una pista obvia que los enlaces -al menos en el MO nivel- las dos cepas juntos.
El año 2017, la inteligencia de Ucrania y un informe de la CIA vinculados al NotPetya y brotes Bad ransomware Conejo a las operaciones de inteligencia rusos, y las voces serán rápidos en señalar que Destructor Olimpico es una versión más refinada de Bad Rabbit.
Hace dos semanas, los investigadores de McAfee publicó un informe sobre una cepa diferente del malware basado en Powershell que se utilizó para dirigirse a organizadores de los Juegos antes del inicio del evento.