OLYMPIC DESTROYER ¿QUIÉN HACKEÓ LOS JUEGOS OLÍMPICOS?

Santiago Pontiroli Analista de Seguridad, GReAT, Kaspersky Lab

Presentada por:

Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total

del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

El ataque que confundió a la industria

• ¿Qué sucedió?

• ¿Cómo funciona Olympic Destroyer?

• ¿Quién fue responsable?

Las consecuencias • Olympic Destroyer, inutilizó el sitio

oficial de los Juegos y la red inalámbrica del estadio; también afectó a la retransmisión del evento.

• Los visitantes no pudieron imprimir sus entradas, los monitores dejaron de funcionar, y los organizadores no sabían por donde comenzar a buscar.

• Se hicieron atribuciones a grupos de Irán, China, Rusia y Corea del Norte, pero… ¿quién fue realmente?

• La industria fue rápida en acusar pero aún no había evidencia concreta acerca del origen del ataque.

• Olympic Destroyer es un gusano de red, recolecta credenciales de acceso y nombres de host y realiza movimiento lateral hacia otros equipos.

• Tres puntos de lanzamiento iniciales, ataque directo e indirecto a la infraestructura.

• Lazarus, involucrado en campañas de espionaje militar, saboteó operaciones de instituciones financieras, estaciones de medios y empresas manufactureras.

¿Fueron los responsables?

El diablo está en los detalles • El componente destructivo

(wiper) en Olympic Destroyer presentaba el mismo encabezado de archivo y otras similitudes de código a muestras relacionadas con Lazarus, sin embargo existían algunas inconsistencias.

¿Cómo investigar cuando la evidencia era escasa? ¿Esta información es verdadera o fue plantada allí para confundir?

La inteligencia de amenazas, atribución, y otras lecciones aprendidas • El esfuerzo de los atacantes por

incluir información falsa, y la efectividad de la operación hacen de Olympic Destroyer un caso de estudio ejemplar.

• ¿Lazarus?¿Sofacy?¿Gothic Panda? La atribución no es simple y puede tener ramificaciones geopolíticas.

Gracias por asistir a esta sesión

Preguntas y respuestas

Para mayor información:

Santiago Pontiroli @spontiroli

Para descargar esta presentación visite: www.segurinfo.org