La operación Olympic Destroyer está activa y tiene como objetivo Europa

  • Actualidad

Los analistas de Kaspersky Lab que siguen la actividad de 'Olympic Destroyer', amenaza que se hizo famosa al atacar la ceremonia de apertura de los Juegos Olímpicos de Invierno de Pyeongchang con un gusano de red destructivo, han descubierto que el grupo se encuentra detrás todavía se mantiene activo.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Olympic Destroyer es una amenaza avanzada que atacó a la organización, proveedores y partners de los Juegos Olímpicos de Invierno 2018 de Pyeongchang (Corea del Sur), con una operación de cibersabotaje mediante el uso de un destructivo gusano de red. Muchas pistas apuntaban hacia los diferentes orígenes del ataque, causando en febrero de 2018 cierta confusión en la industria de la seguridad. Algunos detalles descubiertos por Kaspersky Lab sugerían que el grupo Lazarus, un actor de amenazas vinculado a Corea del Norte, se encontraba detrás de la operación.

Sin embargo, en marzo de este año, la misma firma confirmó que la campaña presentaba una operación de bandera falsa muy elaborada y convincente. Ahora sus analistas han detectado que la operación “Olympic Destroyer” está de vuelta utilizando algunas de sus herramientas originales de infiltración y reconocimiento, y centrándose en objetivos en Europa. “

“El actor de amenazas está propagando su malware a través de documentos de phishing que se parecen mucho a aquellos utilizados en la preparación de la operación de los Juegos Olímpicos”, dice Kaspersky Lab en un comunicado. Uno de esos documentos señuelo hacía alusión a ‘Spiez Convergence’, una conferencia de amenazas bioquímicas celebrada en Suiza y organizada por el Laboratorio Spiez, una organización que desempeñó un papel clave en la investigación del ataque Salisbury. Otro documento estaba dirigido contra una entidad de la autoridad de control sanitario y veterinario de Ucrania. Algunos de los documentos “spear-phishing” descubiertos por los analistas incluyen palabras en ruso y alemán.

Todas las cargas finales extraídas de los documentos maliciosos se diseñaron para proporcionar acceso genérico a los ordenadores comprometidos. Un marco de código abierto y libre, generalmente conocido como “Powershell Empire”, se utilizó para la segunda fase del ataque.

Los ciberatacantes parecen utilizar servidores web legítimos comprometidos para alojar y controlar el malware. Estos servidores usan Joomla, un popular sistema de administración de contenido de código abierto (CMS). Los analistas encontraron que uno de los servidores que alojaba la carga maliciosa usaba una versión de Joomla (v.1.7.3) lanzada en noviembre de 2011, lo que sugiere que los atacantes podrían haber usado una variante muy anticuada del CMS para hackear los servidores.

Según la telemetría de Kaspersky Lab y los archivos subidos a servicios multi-escáner, el interés de esta campaña de “Olympic Destroyer” parece ser organizaciones en Alemania, Francia, Suiza, Países Bajos, Ucrania y Rusia.

En el ataque anterior durante los Juegos Olímpicos de Invierno, el comienzo de la etapa de exploración tuvo lugar un par de meses antes de la epidemia del destructivo gusano de red automodificable. Es muy posible que Olympic Destroyer esté preparando un ataque parecido con nuevos objetivos, por lo que aconsejamos a las organizaciones de análisis de amenazas biológicas y químicas que estén en alerta máxima y que, de ser posible, realicen una auditoría de seguridad extraordinaria tan pronto cuando sea posible.

Según el especialista de seguridad, sus productos detectan y bloquean con éxito el malware relacionado con el Destructor Olímpico.