Los hackers nunca duermen: siempre están al acecho de cualquier oportunidad para hacerse presentes y demostrar, a veces de manera realmente contundente, la poca seguridad que suele imperar en la mayoría de los sistemas del mundo.
¿Es necesario demostrar esto a expensas de usuarios inocentes? En este punto es importante hacer una aclaración: no siempre los ciberataques se hacen por mera diversión. En ocasiones tiene objetivos bien claros, ya sea robar datos o bien servir a los intereses de compañías o naciones particulares.
Eventos multitudinarios, como el caso de los torneos deportivos internacionales, conferencias de carácter mundial y cumbres, representan en ocasiones la oportunidad perfecta para demostrar tanto la inseguridad de la red como para hacer sentir la geopolítica en todo su esplendor.
El ejemplo más reciente de una situación como esta lo tuvimos con las Olimpíadas de Invierno 2018, celebradas en PyongChang, Corea del Sur, del 9 al 25 de febrero. Allí se dio una situación que afectó principalmente a todos los sistemas de tecnología y la conexión a internet que sería utilizada por los periodistas para hacer la transmisión a sus respectivos países. Asimismo, imposibilitó al público que había adquirido sus entradas online imprimir sus reservas, problemas estos que se extendieron por algunos días.
Podrá parecer algo menor y hasta inofensivo, pero hay reportes que apuntan a una posible participación rusa en la trama, presumiblemente en represalia por haber sido prohibido el país de participar en los Juegos por el Comité Olímpico Internacional (COI) debido al dopaje institucionalizado a nivel nacional. Eventualmente se permitió la participación de 169 atletas rusos bajo una bandera neutra, pero ya el escándalo había hecho su efecto a varios niveles.
Lo que pasó en Corea del Sur
De acuerdo con informes, los atacantes desplegaron una cepa de malware nunca vista con la intención de destruir datos para que el sistema encuentre errores cuando intente iniciar. El virus, bautizado con el nombre de Olympic Destroyer, tenía por objetivo de inutilizar el equipo eliminando instantáneas y registros de eventos.
Quizás nunca se sepa a ciencia cierta si Rusia estuvo o no detrás del ataque, el cual fue ejecutado de una manera que daba la impresión de provenir de Coreal del Norte, país con el que Corea del Sur mantiene relaciones tensas. Mientras tanto, fue efectivo en su cometido de importunar a más de uno y deslucir un poco la parte técnica del evento a nivel de cobertura y otras facilidades.
Olympic Destroyer fue creado con la finalidad de eliminar la instantáneas de los sistemas, los registros de eventos e intentar usar PsExec y WMI para avanzar en el entorno. Su comportamiento es similar al de Bad Rabbit, ransomware que ocasionó grandes problemas en Europa del Este durante el tercer trimestre de 2017. Para hacer su ataque, este virus envía un fichero binario al equipo objetivo del ataque que contiene múltiples ficheros, los cuales están ofuscados y sus nombres son generados aleatoriamente.
Dos de los ficheros incluidos en el binario son módulos dedicados a robar credenciales, uno dirigido contra los navegadores web (Internet Explorer, Firefox y Chrome) y otro contra el Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) de Windows utilizando un método similar al empleado por la herramienta de penetración Mimikatz.
Tras conseguir las credenciales se dedica a utilizarlas para acceder e infectar servidores y borrar las instantáneas del sistema utilizando el comando vssadmin.exe y wbadmin.exe para destruir otros ficheros importantes. Luego el malware se aprovecha de un comando llamado BCDEdit, que es usado para ajustar las configuraciones de arranque en máquinas Windows.
Recomendaciones para minimizar ciberataques en eventos grandes
Se acerca el Mundial de Futbol 2018, el cual será celebrado en Rusia en junio próximo, y la necesidad de implementar un plan para evitar ataques similares a los de PyongChang se hacen necesarios.
Walter Cervoni, chief technology officer de GM Security Technologies, enfatiza la necesidad de educar a los usuarios sobre la importancia de qué tipo de archivos se puede abrir y de proveer los recursos a los departamentos de sistemas de información para mantener los parches al día. Recomienda asimismo hacer análisis de vulnerabilidad trimestrales y destaca la segmentación de la red, tanto norte/sur -es decir, lo que viene de internet-, como este/oeste, lo que limitaría que un malware se pueda regar dentro de la red.
Es necesario implementar un plan para evitar que este tipo de ataques se continúen en eventos de gran escala como podría ser el Mundial de Fútbol Rusia 2018, más aun, considerando que Rusia es el país del mundo con mayor índice probado de cibercriminalidad. Walter Cervoni, chief technology officer de GM Security Technologies
Algunas recomendaciones que deberían tomar en consideración quienes se encentran a la cabeza de la ciber seguridad en estos eventos incluyen:
- Bajo ningún concepto ejecutar archivos de dudosa procedencia, que lleguen como adjuntos en correos electrónicos.
- Estar alerta ante mensajes de contactos desconocidos, y realizar backups y soportes periódicos de la información relevante.
- Realizar análisis de vulnerabilidad frecuentes.
- Realizar una segmentación de la red y del acceso a cada nivel según el organigrama de la empresa o corporación que está organizando el evento.
Se debe cuidar el perímetro para detectar, bloquear y poder responder de manera rápida a cualquier ataque que llegara a generarse durante estos grandes eventos, señala Cervoni para finalizar.