El 1863 de enero de XNUMX, nació Pierre De Coubertin, el hombre a quien debemos decir gracias por haber reintroducido los Juegos Olímpicos. Sus nobles intenciones y valores son la esencia del deporte, pero desafortunadamente a menudo han sido y aún hoy son traicionados continuamente.
¿Por qué, después de tantos años, todavía estamos tan fascinados por los Juegos Olímpicos?
Además de dar visibilidad a todos los deportes y simbolizar la unión entre los pueblos en tiempos difíciles, los Juegos Olímpicos representan una continuidad con nuestros orígenes. Los cinco círculos, de hecho, se perciben como un hilo conductor que comienza en la antigua Grecia y que se extiende hasta el siglo XXI. Un punto de contacto entre nosotros y nuestras raíces. Las naciones cambian, las monedas, las costumbres y las costumbres cambian, pero el hombre siempre sigue siendo el protagonista.
Con el mundo del deporte cada vez más orientado hacia intereses económicos a expensas de la pasión, no es de extrañar una historia que ha surgido en los últimos tiempos y que cuenta cómo en nuestros días nada puede considerarse seguro y todo puede representar un objetivo para aquellos que, cada vez más a menudo, contratados y financiados por varios estados, crean turbulencias para provocar cambios sociales, políticos y económicos que pueden favorecerlos.
Tomado del libro Sandworm de Andy Greenberg, este artículo traza la historia del ciberataque que tuvo lugar la víspera de los Juegos Olímpicos de Invierno de 2018; una historia pasada en silencio y de la que se ha sabido muy poco pero que representa uno de los ejemplos más llamativos de ciberguerra de la historia.
Justo antes de las 20:00 del 9 de febrero de 2018, en las montañas del noreste de Corea del Sur, Sang-jin Oh estaba sentado tranquilamente en una silla a unas pocas docenas de filas desde el piso del vasto estadio olímpico pentagonal en Pyeongchang. Llevaba una chaqueta oficial de los Juegos Olímpicos, gris y rojo, que lo mantenía abrigado a pesar del clima casi helado, y su lugar, detrás de la sección de prensa, era perfecto para tener una visión clara y completa del escenario elevado y circular unos pocos cientos metros frente a él. La ceremonia de apertura de los Juegos Olímpicos de Invierno 2018 estaba a punto de comenzar.
A medida que las luces se encendían alrededor de la estructura descubierta del estadio, la espera se respiró a través del zumbido de más de 35.000 personas y el espectáculo fue fantástico. Era evidente que pocas personas vivían la espera más intensamente que él. Durante más de tres años, el funcionario de 47 años había sido responsable de la infraestructura tecnológica del comité organizador de los Juegos Olímpicos de Pyeongchang. Supervisó la configuración de una infraestructura de TI para juegos que incluía más de 10.000 PC, 20.000 dispositivos móviles, 6.300 enrutadores Wi-Fi y 300 servidores en dos centros de datos ubicados en Seúl.
Esta infraestructura funcionó perfectamente o, al menos, parecía tan lejos. De hecho, media hora antes, había oído hablar de un molesto problema técnico. La fuente de este problema fue una compañía de TI de la cual, para los Juegos Olímpicos, se habían alquilado otros cien servidores. Y estaba claro que media hora después de la inauguración, esta noticia era algo insoportable, especialmente teniendo en cuenta que tenía los ojos del mundo entero sobre él.
Sin embargo, los centros de datos de Seúl no informaron ningún tipo de mal funcionamiento y el equipo de Oh creía que los problemas eran manejables. Todavía no sabía que las entradas al estadio no podían imprimirse. Entonces, se había establecido en su lugar, listo para disfrutar de ese evento que sin duda fue el momento más importante de su carrera.
Diez segundos antes de las 20, los números de cuenta regresiva comenzaron a aparecer, uno por uno, mientras que un coro de voces de niños marcó la cuenta regresiva en coreano:
"Sip! ... Gu! ... amigo! ... Chil!
En medio de la cuenta regresiva, el teléfono de Oh se iluminó de repente. Miró hacia abajo y vio un mensaje en KakaoTalk, una popular aplicación de mensajería coreana. El mensaje representaba la peor noticia posible que Oh podría haber recibido en ese momento: “Había algo o alguien que estaba apagando todo controlador de dominio presente en los centros de datos de Seúl, es decir, los servidores que formaron la columna vertebral de la infraestructura de TI de los Juegos Olímpicos ".
Tan pronto como comenzó la ceremonia de apertura, miles de fuegos artificiales explotaron alrededor del estadio y decenas de títeres y bailarines coreanos entraron al escenario. Oh, sin embargo, no estaba viendo nada de esto. De hecho, estaba enviando mensajes furiosos con los miembros de su personal mientras observaban impotentes que toda su infraestructura de TI se apagara sin descanso. Pronto se dio cuenta de que lo que había informado la empresa asociada no era un simple problema técnico. Había sido la primera señal de un ataque en curso. Ahora estaba claro que tenía que llegar a su centro de operaciones tecnológicas.
Cuando Oh llegó a la salida del estadio desde la sección de prensa, los periodistas a su alrededor ya habían comenzado a quejarse por el mal funcionamiento de Wi-Fi. Miles de televisores conectados a Internet que mostraban la ceremonia alrededor del estadio y en otros 12 lugares olímpicos se habían vuelto negros. Todas las entradas de seguridad basadas en RFID que permitían el acceso a cada edificio olímpico estaban inactivas. La aplicación oficial de los Juegos Olímpicos, incluida la función de emisión de boletos digitales, también estaba fuera de servicio.
Sin embargo, el comité organizador de Pyeongchang se había preparado para situaciones similares. Su equipo de seguridad cibernética se había reunido 20 veces desde 2015. Llevaron a cabo ejercicios en el verano del año anterior, simulando desastres como ataques cibernéticos, incendios y terremotos. Pero ahora que uno de esos escenarios de pesadilla se había desarrollado, el sentimiento, para Oh, era enloquecedor y surrealista. "En realidad sucedió", pensó Oh, como para sacudirse la sensación de que era solo un mal sueño.
Una vez que Oh se abrió paso entre la multitud, corrió hacia la salida del estadio y salió al aire frío de la noche, se le unieron otros dos empleados de TI. Se subieron a un SUV Hyundai y comenzaron el viaje más largo de 45 minutos de su vida, para llegar a la ciudad costera de Gangneung, donde se encontraba el centro de operaciones de tecnología de los Juegos Olímpicos.
Desde el auto, Oh llamó a los empleados en el estadio para decirles que comenzaran a distribuir puntos de acceso Wi-Fi a los reporteros y que les dijeran a los controles de seguridad que revisaran las insignias manualmente, porque todos los sistemas RFID estaban fuera de servicio. Pero esta era la menor de sus preocupaciones. Oh, sabía que en unas dos horas terminaría la ceremonia de inauguración y decenas de miles de atletas, visitantes y espectadores descubrirían que no tenían conexiones Wi-Fi ni acceso a la aplicación de los Juegos Olímpicos, llena de horarios e información sobre hoteles y mapas. El resultado hubiera sido humillante. Si no hubieran podido poner en funcionamiento los servidores a la mañana siguiente, todo el backend de TI del comité organizador, a cargo de todo, desde las comidas hasta las reservas de hotel y la venta de entradas para eventos, se habría quedado fuera de línea mientras los juegos hubieran estado columpio completo El fiasco tecnológico más grande de la historia en uno de los países tecnológicamente más avanzados del mundo estaba en el horizonte.
Oh llegó al Centro de Operaciones Tecnológicas de Gangneung a las 21 p.m., a mitad de la ceremonia de apertura. El centro consistía en un gran espacio abierto con escritorios y computadoras para 150 empleados; Toda una pared estaba cubierta de pantallas. Cuando entró, muchos miembros del personal estaban parados, agrupados y discutían ansiosamente cómo responder al ataque. El problema también se agravó por el hecho de que los servicios básicos como el correo electrónico y la mensajería estaban fuera de línea.
Los nueve controladores de dominio que gobernaban la autenticación se habían deshabilitado de alguna manera, haciendo que los recursos fueran inaccesibles. El personal había decidido una solución temporal, es decir, evitar las llamadas máquinas de gatekeeper muertos mediante la configuración de acceso directo a todos los servidores supervivientes que alimentaban algunos servicios básicos, como Wi-Fi y televisores conectados a Internet. De esta manera, lograron volver a poner en línea esos servicios unos minutos antes del final de la ceremonia.
En las próximas dos horas, mientras intentaban reconstruir los controladores de dominio para recrear una red mejor y más segura, los técnicos encontrarían que, como en el juego topo, los servicios se detuvieron mucho más rápido de lo que pudieron restaurarlos. Señal obvia de la presencia de alguien en la red.
Unos minutos antes de la medianoche, Oh y sus administradores de sistema decidieron a regañadientes una medida desesperada: desconectarían toda la red de Internet en un intento de aislarla de los atacantes porque estaba claro que podían moverse dentro gracias a los canales de comando y control que se habían dado cuenta. Por supuesto, eso significaba desglosar todos los servicios, incluso el sitio web público de los Juegos Olímpicos. Por otro lado, habría sido la única forma de erradicar cualquier infección.
Durante el resto de la noche, Oh y su equipo trabajaron frenéticamente para reconstruir el "sistema nervioso digital" de los Juegos Olímpicos. A las 5 de la mañana, un socio de seguridad coreano, AhnLab, había logrado crear una firma antivirus que podría haber ayudado al personal de Oh a detener el malware en los miles de PC y servidores de la red que habían sido infectados.
A las 6:30 de la mañana, los administradores del sistema restablecen las contraseñas del personal con la esperanza de bloquear cualquier acceso a los piratas informáticos. Justo antes de las 8 de la mañana de esa mañana, casi exactamente 12 horas después de que comenzó el ciberataque en los Juegos Olímpicos, Oh y sus colaboradores insomnes terminaron de reconstruir sus servidores a partir de copias de seguridad y comenzaron a reiniciar los servicios.
Sorprendentemente, todo funcionó y, en general, el mal servicio fue mínimo. Un periodista de la Boston GlobeMás tarde llamó a los juegos "perfectamente organizados". Miles de atletas y millones de espectadores desconocían el hecho de que el personal de los Juegos Olímpicos había pasado la noche luchando contra un enemigo invisible que amenazaba con llevar todo el evento al caos.
Sin embargo, unas horas después del ataque, los primeros rumores comenzaron a circular en las comunidades de seguridad cibernética sobre los problemas que habían derribado el sitio web de los Juegos Olímpicos, la infraestructura de Wi-Fi y varias aplicaciones durante la ceremonia de apertura. Dos días después de la ceremonia, el comité organizador de Pyeongchang confirmó que había sido el blanco de un ataque cibernético, pero se negó a comentar quién podría haber estado detrás de ese ataque.
El accidente se convirtió inmediatamente en un caso internacional. ¿Quién se hubiera atrevido a llevar a cabo un ciberataque en la infraestructura digital de los Juegos Olímpicos?
El ciberataque de Pyeongchang demostraría ser la operación de piratería más engañosa de la historia durante la cual se utilizaron los medios más sofisticados que se hayan visto para confundir a los analistas forenses en la búsqueda de los culpables.
La dificultad de probar la fuente de un ataque, el llamado problema de atribución, ha plagado la seguridad cibernética desde los albores de Internet. Los piratas informáticos más sofisticados pueden hacer sus conexiones aprovechando las rutas sinuosas e insertando callejones sin salida dentro de las rutas mismas, lo que hace casi imposible seguir sus huellas. Sin embargo, los analistas forenses han aprendido a determinar la identidad de los piratas informáticos por otros medios, buscando pistas en el código, conexiones de infraestructura y motivaciones políticas.
En los últimos años, sin embargo, los ciberespías y saboteadores patrocinados por el estado han experimentado cada vez más con otro truco: plantar las llamadas "banderas falsas". Estos actos, diseñados para engañar tanto a los analistas de seguridad como a los técnicos, han dado lugar a narrativas imaginativas sobre las identidades de los piratas informáticos que son difíciles de borrar, incluso después de que los gobiernos hayan anunciado los resultados oficiales obtenidos por sus agencias de inteligencia. Por supuesto, no ayuda que estos resultados oficiales lleguen a menudo, semanas o incluso meses, después del ataque, pero eso es todo.
Por ejemplo, cuando los hackers norcoreanos violaron el Sony Pictures en 2014 para evitar la publicación de "The Interview", inventaron un grupo "hacktivista" llamado "Guardianes de la Paz" y trataron de engañar a los investigadores mediante una vaga nota de rescate. Incluso después de que el FBI declarara responsable a Corea del Norte y la Casa Blanca impusiera nuevas sanciones contra el régimen de Kim como castigo, varias empresas de seguridad continuaron argumentando que el ataque debió haberse generado desde adentro.
Cuando los piratas informáticos rusos patrocinados por el estado robaron y publicitaron correos electrónicos del Comité Nacional Demócrata y la campaña de Hillary Clinton en 2016, ahora sabemos que el Kremlin también inventó historias para encubrir y desviar a otros. responsabilidad por ese ataque. Inventó un hacker rumano solitario llamado Guccifer 2.0 para atribuir el ataque y también difundió rumores de que un miembro del personal demócrata asesinado posteriormente llamado Seth Rich era responsable de publicar los correos electrónicos y distribuir documentos. robado usando un sitio falso llamado DCLeaks. Estas noticias falsas o engaños, si lo prefiere, se convirtieron en teorías de conspiración, utilizadas y explotadas por los partidarios de la derecha y el candidato presidencial Donald Trump.
Por lo tanto, se había creado una atmósfera de desconfianza en las instituciones y un crédito para aquellos que apoyaban las falsas tesis y los escépticos también rechazaron las evidencias evidentes que llevaron a la responsabilidad del Kremlin tanto que incluso una declaración conjunta de las agencias de inteligencia de los EE. UU. , que ocurrió cuatro meses después, que atribuyó a Rusia la responsabilidad del ataque ya no podía cambiar lo que la gente común pensaba sobre el incidente. E incluso hoy, una encuesta de The Economist muestra que aproximadamente la mitad de los estadounidenses dijeron que creían que Rusia estaba interfiriendo en las elecciones.
Con el malware llegando a los Juegos Olímpicos de Pyeongchang, el arte del engaño digital ha avanzado mucho. Los investigadores no habrían encontrado ninguno en el código malicioso bandera falsa pero varias otras pistas falsas que apuntan a varios posibles culpables. Y algunas de estas pistas se han ocultado tan profundamente que se ha dicho que tal cosa nunca había sucedido antes.
Desde el principio, las motivaciones geopolíticas detrás de los sabotajes olímpicos estaban lejos de ser claras. Se sabe que cualquier ataque cibernético en Corea del Sur es, por supuesto, acusado a Corea del Norte. El llamado "reino ermitaño" ha afectado a los vecinos capitalistas con provocaciones militares y de ciberguerra de bajo nivel durante años. En vísperas de los Juegos Olímpicos, los analistas de la compañía de seguridad informática McAfee Advirtieron que los piratas informáticos de habla coreana se habían dirigido a los organizadores olímpicos de Pyeongchang con correos electrónicos de phishing y que Corea del Norte era responsable de crear malware ad hoc para atacar la infraestructura digital de los Juegos Olímpicos.
Sin embargo, hubo signos contradictorios en el escenario público. Al comienzo de los Juegos Olímpicos, Corea del Norte parecía estar experimentando con un enfoque más amigable. El dictador norcoreano Kim Jong-un envió a su hermana como emisaria diplomática a los juegos e invitó al presidente surcoreano Moon Jae-in a visitar la capital norcoreana de Pyongyang. Los dos países incluso habían lanzado la idea de participar en los Juegos con un solo equipo de hockey femenino. Entonces, ¿por qué debería Corea del Norte lanzar un ciberataque perturbador en medio de los Juegos?
Luego estaba Rusia. El Kremlin tenía su motivo para atacar Pyeongchang. Las investigaciones de dopaje de los atletas rusos habían llevado a un resultado humillante antes de los Juegos Olímpicos de 2018: a sus atletas se les permitiría competir, pero no vestir los colores rusos ni aceptar medallas en nombre de su país. Durante años antes de ese veredicto, un equipo de piratas informáticos ruso patrocinado por el estado conocido como Fancy Bear había estado contraatacando, robando y filtrando datos sobre prácticas de dopaje. El exilio de Rusia de los juegos fue exactamente el tipo de palanca que podría inspirar al Kremlin a desatar un ataque perturbador en la ceremonia de apertura. Si el gobierno ruso no podía disfrutar de los Juegos Olímpicos, nadie lo haría.
Aquí también, sin embargo, las cosas no estaban tan claras. Unos días antes de la ceremonia de inauguración, Rusia había negado cualquier actividad de piratería que involucrara los Juegos Olímpicos. "Sabemos que los medios de comunicación occidentales están planeando pseudoinvestigaciones sobre el tema de las" huellas dactilares rusas "en ataques de piratería en recursos de TI relacionados con la organización de los Juegos Olímpicos de Invierno en la República de Corea", dijo el Ministerio de Relaciones Exteriores de Rusia. Agencia de Reuters. "Por supuesto, no hay evidencia que lo demuestre".
De hecho, habría habido mucha evidencia que podría haber llevado a considerar la responsabilidad de Rusia. El verdadero problema es que había muchos otros que indicaban lo contrario según un clásico juego de engaño.
Tres días después de la ceremonia de apertura, la división de seguridad Talos de Cisco reveló que había obtenido una copia del malware creado para los Juegos Olímpicos y lo había diseccionado y analizado. Alguien del comité organizador de los Juegos Olímpicos o, quizás, de la empresa de seguridad coreana AhnLab, de hecho, había subido el código malicioso a VirusTotal. Más tarde, la compañía publicaría los resultados del análisis en una publicación de blog y le daría al malware el nombre Olympic Destroyer.
En principio, la anatomía del Destructor Olímpico se parecía a dos ciberataques rusos anteriores: NotPetya y Bad Rabbit. Como en el caso de esos ataques anteriores, Olympic Destroyer también utilizó una herramienta de "robo de credenciales", combinada con las funciones de acceso remoto de Windows que, gracias a las vulnerabilidades expuestas por falta de actualizaciones, permitieron que se extendiera entre las distintas máquinas de la red. . Finalmente, usó un componente de destrucción de datos para borrar la configuración de arranque de las máquinas infectadas antes de deshabilitar todos los servicios de Windows y apagar las computadoras para que no pudieran reiniciarse. Los analistas de la firma de seguridad CrowdStrike habrían encontrado otro código que se refería a Rusia; elementos que se parecían a una pieza de ransomware ruso conocida como XData.
A pesar de esto, no hubo claridad porque parecía no haber una correspondencia clara, en términos de código, entre el Destructor olímpico y los gusanos NotPetya o Bad Rabbit anteriores, aunque tenían características similares. Aparentemente, lo más probable es que hayan sido recreados desde cero o copiados de otras fuentes.
De un análisis aún más profundo, surgió que la parte de borrado de datos de Olympic Destroyer tenía las mismas características que el código de borrado de datos que no fue utilizado por Rusia, sino por el grupo de piratas informáticos norcoreanos conocido como Lazarus. Cuando los investigadores de Cisco colocaron las estructuras lógicas de los componentes de borrado de datos una al lado de la otra, en realidad parecían coincidir, aunque de manera flexible. Ambos destruyeron archivos de la misma manera: solo borraron los primeros 4.096 bytes.
¿Se podría decir que Corea del Norte estuvo detrás del ataque, entonces?
Sin embargo, también había otras pistas que conducían en direcciones completamente diferentes. La firma de seguridad Intezer señaló que un fragmento de código para robar credenciales y contraseñas se combinó con exactamente las mismas herramientas utilizadas por un grupo de piratas informáticos conocido como APT3, un grupo que varias firmas de ciberseguridad han vinculado al gobierno chino. La empresa también logró identificar un componente que Olympic Destroyer había utilizado para generar claves de cifrado y lo asoció con otro grupo, APT10, también vinculado a China. Intezer señaló que el componente de cifrado nunca antes había sido utilizado por otros equipos de piratería. ¿Rusia? ¿Corea del Norte? ¿China? Cuanto más avanzábamos con el análisis del malware, más actores aparecían en el horizonte y todo parecía, además, extremadamente contradictorio.
De hecho, todas esas pistas, como se mencionó, muy a menudo contradictorias, parecían diseñadas no para guiar a los analistas hacia una sola respuesta, sino para crear confusión y hacer que la solución al rompecabezas sea extremadamente difícil. El misterio puso a prueba a los investigadores al crear una gran cantidad de dudas. "Fue una verdadera guerra psicológica dirigida a los analistas", dijo Silas Cutler, un investigador de seguridad que en ese momento trabajaba para CrowdStrike.
Esta duda, al igual que los efectos del sabotaje en los Juegos Olímpicos, parecía haber sido el verdadero objetivo del malware, dijo Craig Williams, un investigador de Cisco. "Incluso cuando tal ataque completa su misión, el mensaje real que se envía a la comunidad de seguridad es evidente", dijo Williams. "En un análisis de un ciberataque es muy difícil atribuir responsabilidad porque siempre se puede engañar". Y esta es, de hecho, una verdad profunda.
Resultó que el comité organizador de los Juegos Olímpicos no fue la única víctima del Destructor Olímpico. Según la firma de seguridad rusa Kaspersky, el ataque cibernético también afectó a otros objetivos relacionados con los Juegos Olímpicos, incluido Atos, un proveedor de servicios de TI en Francia que apoyó el evento, y dos estaciones de esquí en Pyeongchang. Una de estas ubicaciones había sido infectada tan seriamente que los ascensores habían sido bloqueados temporalmente.
En los días posteriores al ataque durante la ceremonia de apertura de los Juegos, el Equipo Global de Investigación y Análisis de Kaspersky había logrado obtener una copia del malware Olympic Destroyer de una de las estaciones de esquí y había comenzado a analizarlo de manera diferente a hecho por Cisco e Intezer. Había analizado su "encabezado", una parte de los metadatos del archivo que incluye pistas sobre qué tipos de herramientas de programación se usaron para escribirlo. Al comparar ese encabezado con otras muestras de malware, encontraron una combinación perfecta con el método de eliminación de datos utilizado por los hackers norcoreanos Lazarus, el mismo que Cisco ya había indicado. La teoría de Corea del Norte parecía confirmada.
Pero un investigador senior de Kaspersky llamado Igor Soumenkov decidió hacer algo diferente. Soumenkov era conocido por ser un prodigio de piratería ética y había sido reclutado en el equipo de investigación de Kaspersky desde una edad muy temprana, ya que tenía un conocimiento extraordinariamente profundo de los encabezados de archivos. Entonces decidió revisar los hallazgos de sus colegas.
Soumenkov examinó el código y determinó que los metadatos del encabezado no tenían relación con el código del malware; el malware no se escribió con las herramientas de programación que generalmente están asociadas con el encabezado. En definitiva, los metadatos representaban una falsificación.
Esto era algo diferente a todos los otros signos de desviación que los investigadores habían encontrado hasta ahora. De hecho, hasta entonces, nadie había podido decir con certeza qué pistas eran reales y cuáles no. Pero ahora, entrando en los pliegues reales del código y los metadatos, Soumenkov había encontrado uno bandera falsa, el llamado verdadero engaño. Ahora estaba claro que alguien había tratado de asegurarse de que el malware se podía atribuir a Corea del Norte y que casi había tenido éxito, pero gracias al minucioso control triple de Kaspersky, el engaño había salido a la luz.
Por otro lado, también era evidente que el código no era atribuible a China porque, como regla, el código chino es muy reconocible y esto era profundamente diferente.
¿Y qué? Si no es China, si no es Corea del Norte, ¿quién?
Unos meses más tarde, en una sala de conferencias de Kaspersky, ante esta pregunta, Soumenkov sacó un juego de dados de una pequeña bolsa de tela negra. A cada lado de los pequeños cubos negros estaban escritas palabras como Anónimos, Ciberdelincuentes, Hacktivistas, Estados Unidos, China, Rusia, Ucrania, Ciberterroristas, Irán. Estos fueron los famosos dados de atribución.
Kaspersky, como muchas otras compañías de seguridad, utiliza una política rigurosa que solo afecta la capacidad de detener los ataques de piratas informáticos sin mencionar el país o el gobierno detrás del cual puede estar el ataque. Pero el llamado dado de atribución que Soumenkov sostenía en su mano representaba, obviamente, la exasperación del problema de atribución y eso es "que ningún ataque cibernético realmente puede rastrearse hasta su origen, y cualquiera que lo intente es simplemente uno que adivinar ".
Michael Matonis estaba trabajando desde su casa cuando comenzó a tirar de los hilos que desentrañarían el misterio del Destructor Olímpico. El ex punk anarquista de 28 años convertido en investigador de seguridad todavía no tenía un escritorio en la oficina de FireEye. Entonces, cuando Matonis comenzó a examinar el malware que había afectado a Pyeongchang, estaba sentado en su espacio de trabajo improvisado: una silla de metal plegable con su computadora portátil apoyada en una mesa de plástico.
Por un capricho, Matonis decidió probar un enfoque completamente diferente a los que lo habían analizado hasta entonces. No buscó pistas en el código de malware, pero comenzó a examinar un elemento mucho más banal de la operación: un documento de Word falso y malicioso, que había servido como el primer paso en la campaña de sabotaje casi desastrosa de la ceremonia de apertura.
El documento, que parecía contener una lista de delegados VIP a los juegos, probablemente había sido enviado por correo electrónico al personal de los Juegos Olímpicos como un archivo adjunto. Si alguien hubiera abierto ese archivo adjunto, se habría ejecutado un script malicioso que habría instalado una puerta trasera en su PC, ofreciendo a los hackers su primer punto de apoyo en la red de destino. Cuando Matonis sacó el documento de VirusTotal, vio que el cebo probablemente había sido enviado al personal de los Juegos Olímpicos a fines de noviembre de 2017, más de dos meses antes de que comenzaran los juegos. Los piratas informáticos habían entrado en la red olímpica, por lo tanto, unos meses antes para desencadenar su ataque.
Matonis intentó encontrar correspondencias con esa muestra de código analizando los documentos presentes en VirusTotal y en las bases de datos FireEye. Durante un primer análisis, no encontró nada, pero Matonis notó, sin embargo, que unas pocas docenas de documentos infectados con malware y presentes en los archivos, correspondían aproximadamente a las características de su archivo: macros de Word creadas para lanzar comandos Powershell. Continuando con el análisis, al final, Matonis descubrió que el intento de hacer únicos los archivos codificados había convertido a estos archivos en un grupo decididamente reconocible. Pronto descubrió que detrás de la generación de estos archivos maliciosos, había una herramienta en línea fácilmente disponible llamada "Malicious Macro Generator".
Matonis especuló que los piratas informáticos habían elegido el programa para confundirse con otros autores de malware, pero al final habían logrado el efecto contrario. Además, notó que el grupo de macros maliciosas estaba unido por los nombres de los autores que se extrajeron de los metadatos. La mayoría de ellos habían sido escritos por alguien llamado "AV", "BD" o "John".
Entre los archivos analizados, Matonis encontró otros dos documentos de cebo que datan de 2017 que parecían apuntar a grupos de activistas LGBT ucranianos, utilizando archivos infectados de organizaciones falsas que luchan por los derechos de los homosexuales. Otros, sin embargo, apuntaron a empresas ucranianas y agencias gubernamentales.
Esto, para Matonis, era un territorio familiar: durante más de dos años, había visto a Rusia lanzar una serie de operaciones destructivas de piratería contra Ucrania, una implacable guerra cibernética que acompañó la invasión de Rusia después de su revolución. oeste de 2014.
A pesar de que esa guerra física había matado a 13.000 personas en Ucrania y desplazado a millones de personas, un grupo de piratas informáticos ruso conocido como Sandworm había librado una verdadera guerra cibernética contra Ucrania: había bloqueado empresas ucranianas, agencias gubernamentales, ferrocarriles. y aeropuertos con oleadas de intrusiones que destruyeron una gran cantidad de datos, incluidas dos violaciones sin precedentes de los servicios públicos de electricidad de Ucrania en 2015 y 2016 que provocaron apagones para cientos de miles de personas. Estos ataques culminaron en NotPetya, un malware que se extendió rápidamente más allá de las fronteras de Ucrania y finalmente infligió $ 10 mil millones en daños a las redes globales, el ataque cibernético más costoso de la historia.
En ese momento, en la cabeza de Matonis, todos los demás sospechosos del ataque olímpico cayeron. Matonis aún no pudo vincular el ataque a un grupo particular de piratas informáticos, pero solo un país atacaría a Ucrania casi un año antes del ataque de Pyeongchang, utilizando la misma infraestructura que luego usaría para piratear el comité organizador. de los Juegos Olímpicos, y no fue China o Corea del Norte.
Curiosamente, otros documentos infectados en manos de Matonis parecían tener el mundo inmobiliario y comercial ruso como víctimas. ¿Se encargó a un equipo de hackers rusos espiar a algunos oligarcas rusos en nombre de sus maestros de inteligencia?
De todos modos, Matonis finalmente cruzó la línea de meta al descubrir quién estaba detrás del ciberataque de los Juegos Olímpicos de 2018: el Kremlin.
"El caso del Destructor Olímpico fue la primera vez que alguien lo usó banderas falsas en un ataque significativo y relevante a la seguridad nacional y representó una muestra de cómo podrían ser los conflictos del futuro ".
Todavía habría mucho que decir, pero creo que lo mejor es pasar el tiempo leyendo "Sandworm" de Andy Greenberg, que, como se mencionó al principio, fue la fuente para escribir esta historia y comprender, cada vez más, que es Es necesario ampliar la mirada de cada uno de nosotros y analizar los incidentes de seguridad al máximo para comprender lo que realmente está detrás de lo que aparentemente son ataques desconectados entre sí.
Nuestra seguridad pasa siempre por nuestro deseo de estudiar y comprender los hechos en profundidad y, retomando una frase de Bernard Baruch: Millones han visto caer la manzana, pero Newton fue quien se preguntó por qué.
Otras fuentes: La historia no contada de NotPetya, el ciberataque más devastador de la historia
