Los esperados Juegos Olímpicos de Invierno 2018 comenzaron el pasado viernes en la ciudad surcoreana de Pyeongchang, sede principal de la cita olímpica, con la ceremonia inaugural. Un impresionante espectáculo en el que participaron cientos de personas y más de 1.200 drones en perfecta sincronía.
Este despliegue de medios materiales y humanos, sin embargo, fue solamente la parte visible. Al otro lado, en el que todavía más gente trabaja para que todo salga bien, se estaba batallando para que un ciberataque apenas afectase al desarrollo de la noche. Pese a ello, los televisores con protocolo de internet del centro de prensa no funcionaron correctamente y los servidores tuvieron que ser apagados momentáneamente, resultando en el cierre temporal de la página oficial de los juegos que sirve para, por ejemplo, descargar entradas.
Este principio de semana, menos de una semana después de la agresión sin autoría confirmada, los investigadores de Cisco Talos que descubrieron el malware responsable del ciberataque han actualizado su análisis sobre la amenaza.
Borrados, mutaciones y aprovechamiento de exploits filtrados de la NSA
Según sus datos, Olympic Destroyer, como ha sido llamado el programa malicioso, era capaz de manipular los procedimientos de recuperación de datos de un ordenador y eliminar servicios de Windows cruciales, haciendo que los ordenadores no pudiesen arrancar correctamente. Poseía un mecanismo de borrado de datos que intentaba eliminar archivos en las redes compartidas, mutando y evolucionando en cada equipo al tiempo que pasaba de uno a otro.
Además, este malware polimórfico tenía la capacidad de tomar listas de credenciales en cada una de las máquinas que afectaba y generar un archivo para su uso. Con cada nueva infección, más datis para ese archivo de credenciales que codificaba.
GoldDragon, como ha sido llamada la amenaza por los investigadores de otra firma de ciberseguridad, McAfee Advanced Threat Research, permitía según estos otros expertos recopilar datos almacenados en los dispositivos y las cuentas conectadas en la nube. Esta misma compañía había detectado una semana antes del arranque de los Juegos Olímpicos de Invierno de 2018 un ataque sin archivos que establecía un canal en el servidor del que poder recopilar datos básicos a nivel del sistema.
Lo que no había quedado claro hasta ahora era cómo GoldDragon o Olympic Destroyer, como se desee llamar, había llegado a los sistemas de la organización olímpica. La respuesta la proporcionó ayer el equipo de Windows Defender, integrado en Microsoft, en un tuit: el programa malicioso parece haberse desplegado gracias a uno de los exploits de la NSA filtrados, concretamente EternalRomance.
Ver 3 comentarios