Los responsables del ataque de malware que en marzo limpió los discos duros de miles de computadores en Corea del Sur son parte del mismo grupo que ha intentado obtener secretos militares de ese país y de Estados Unidos, afirmó una investigación realizada por McAfee.
PUBLICIDAD
La conclusión del estudio sorprende, porque la mayoría de los grupos de espionaje intentan mantenerse en secreto y asegurar que sus amenazas puedan capturar la mayor cantidad de datos sin ser detectados. El ataque “Dark Seoul” sin embargo fue extremadamente llamativo debido a su detonación coordinada. El malware se gatilló en el gobierno, bancos y medios de comunicación exactamente a las 2 pm del 20 de marzo, afectando a sistemas de pagos, cajeros automáticos y más. Hasta ahora, los investigadores habían supuesto que se trataba de un grupo desconocido que buscaba provocar caos.
En realidad, Dark Seoul fue parte de la “Operación Troya”, una campaña de largo plazo que apuntaba a organizaciones militares, y cuyos inicios se remontan a 2009. La operación secreta utilizó malware instalado en equipos comprometidos, donde metódicamente se buscaban términos militares y se descargaban sólo los documentos que se consideraban importantes. El malware ingresó a las máquinas a través de una falla de “día cero” en una red social militar. La técnica para el contagio se conoce como “ataque de agujero de agua”, porque se instala el malware en lugares que se supone serán frecuentados por las personas a las que se busca infectar – tal como los depredadores atacan a las presas cuando éstas están bebiendo agua.
“Los atacantes han intentado desde 2009 instalar la capacidad de destruir a sus objetivos usando un componente para borrar MBR, como se vio en el incidente Dark Seoul. De nuestro análisis hemos establecido que la Operación Troya tenía un foco desde el principio en recolectar inteligencia de objetivos militares en Corea del Sur. También hemos relacionado campañas públicas de alto perfil conducidas en los últimos años contra Corea a la Operación Troya, sugiriendo que un solo grupo es el responsable”, afirma McAfee en su estudio.
Uno de los pilares de Dark Seoul es la destrucción del master boot record (MBR) o registro de arranque principal de las máquinas infectadas. Esta capacidad también estaba en el troyando de acceso remoto usado en la Operación Troya para eliminar los datos de las máquinas comprometidas en las que se detectara que estaban siendo desinfectadas. Al destruir las máquinas, los atacantes tenía mayores opciones de esconder sus ataques. El malware de estos dos ataques no era idéntico, pero McAfee dice que hay suficientes similitudes como para decir que provenían del mismo grupo.
No se sabe, sin embargo, por qué se detonó Dark Seoul. Según los datos de McAfee, el ataque fue intencional y no un accidente. Intentar esconder su presencia destruyendo a miles de máquinas de forma simultánea no parece ser una buena idea.
Link: Hard drive-wiping malware that hit South Korea tied to military espionage (ArsTechnica)