Post on 03-Oct-2020
OLYMPIC DESTROYER ¿QUIÉN HACKEÓ LOS JUEGOS OLÍMPICOS?
Santiago Pontiroli Analista de Seguridad, GReAT, Kaspersky Lab
Presentada por:
Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total
del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
El ataque que confundió a la industria
• ¿Qué sucedió?
• ¿Cómo funciona Olympic Destroyer?
• ¿Quién fue responsable?
Las consecuencias • Olympic Destroyer, inutilizó el sitio
oficial de los Juegos y la red inalámbrica del estadio; también afectó a la retransmisión del evento.
• Los visitantes no pudieron imprimir sus entradas, los monitores dejaron de funcionar, y los organizadores no sabían por donde comenzar a buscar.
• Se hicieron atribuciones a grupos de Irán, China, Rusia y Corea del Norte, pero… ¿quién fue realmente?
• La industria fue rápida en acusar pero aún no había evidencia concreta acerca del origen del ataque.
• Olympic Destroyer es un gusano de red, recolecta credenciales de acceso y nombres de host y realiza movimiento lateral hacia otros equipos.
• Tres puntos de lanzamiento iniciales, ataque directo e indirecto a la infraestructura.
• Lazarus, involucrado en campañas de espionaje militar, saboteó operaciones de instituciones financieras, estaciones de medios y empresas manufactureras.
¿Fueron los responsables?
El diablo está en los detalles • El componente destructivo
(wiper) en Olympic Destroyer presentaba el mismo encabezado de archivo y otras similitudes de código a muestras relacionadas con Lazarus, sin embargo existían algunas inconsistencias.
¿Cómo investigar cuando la evidencia era escasa? ¿Esta información es verdadera o fue plantada allí para confundir?
La inteligencia de amenazas, atribución, y otras lecciones aprendidas • El esfuerzo de los atacantes por
incluir información falsa, y la efectividad de la operación hacen de Olympic Destroyer un caso de estudio ejemplar.
• ¿Lazarus?¿Sofacy?¿Gothic Panda? La atribución no es simple y puede tener ramificaciones geopolíticas.
Gracias por asistir a esta sesión
Preguntas y respuestas
Para mayor información:
Santiago Pontiroli @spontiroli
Para descargar esta presentación visite: www.segurinfo.org