Un ciberataque interrumpió la reciente ceremonia de inauguración de los Juegos Olímpicos, según confirmó un portavoz del Comité Organizador de Pyeongchang. La interrupción cortó el acceso a Internet y las transmisiones de máquinas no críticas, dejó en tierra los drones de las emisoras, cerró el sitio web de Pyeongchang e impidió que los espectadores imprimieran sus reservas y asistieran a la ceremonia.
Según los informes , los atacantes obtuvieron acceso a aproximadamente 300 computadoras, piratearon enrutadores y distribuyeron malware en el período previo y durante las ceremonias del evento. Las conclusiones iniciales de al menos una empresa de seguridad informática concluyeron que el ataque había comenzado con un año de antelación. Según los investigadores de la empresa, los atacantes podrían haber destruido los ordenadores, pero se habían contenido y borrado sólo los archivos de copia de seguridad de las máquinas con Windows. Se llegó a la conclusión de que el ataque fue un intento de enviar un mensaje político. Al momento de escribir este artículo, el vector inicial del ataque no se ha determinado o al menos no se ha hecho público, aunque se especula que se obtuvo acceso previo y se utilizó para lanzar este ataque.
Según una fuente de noticias que cita a funcionarios de inteligencia estadounidenses, espías rusos estaban detrás del ciberataque con el propósito de tomar represalias por la suspensión de los Juegos Olímpicos, que impidió a Rusia competir en los juegos debido a un escándalo de dopaje. Es de destacar que estos funcionarios creen que el ataque pretendía ser una operación de “ bandera falsa ”, ya que supuestamente los atacantes utilizaron direcciones IP de Corea del Norte y otras “tácticas” para que pareciera que Corea del Norte estaba detrás de los ataques. Hasta ahora el gobierno no ha presentado ninguna prueba como lo había hecho cuando respaldaba sus afirmaciones sobre la culpabilidad de Corea del Norte en el hackeo de Sony.
Si bien es muy posible que haya información clasificada que ayude a atribuir esta actividad, la motivación es en gran medida la prueba incriminatoria que apunta a la culpabilidad rusa. Retribuir al Comité Olímpico Internacional (COI) por no permitir que los atletas rusos compitan bajo la bandera nacional sería coherente con el ferviente nacionalismo ruso y su necesidad de proteger todos los aspectos de su identidad cultural. Se alega que el estado ruso o actores afiliados al estado han orquestado ciberataques anteriores contra objetivos olímpicos, en particular el ciberataque de contra la Agencia Mundial Antidopaje en el que los atacantes obtuvieron acceso a datos de los atletas, incluidos datos médicos confidenciales, y los hicieron públicos. .
Si el motivo va a ser el factor principal en la atribución (tenga en cuenta que el análisis de malware no proporcionó pistas que incorporen rasgos de malware utilizado por una variedad de actores estatales sospechosos), en el momento del ataque, sólo dos gobiernos eran probables sospechosos: Corea del Norte. y Rusia. Sin embargo, después de acontecimientos tumultuosos sobre el desarrollo de armas nucleares y el lanzamiento de misiles, Corea del Norte hizo grandes propuestas diplomáticas a Corea del Sur y finalmente marchó con ella bajo una sola bandera. Parece improbable que quiera restar valor a los avances logrados a través de su diplomacia olímpica con un ataque molesto.
Todavía dolida por su incapacidad de caminar bajo su bandera, Rusia parece el probable sospechoso detrás del ciberataque, queriendo expresar su descontento hacia el COI. De ser cierto, el hecho de que pudiera haberlo hecho y no lo haya hecho es testimonio de que Rusia quería dejar constancia de su descontento, no castigar a Corea del Sur por la decisión del COI.
Sin embargo, lo que da que pensar es la razón por la cual –si los informes son correctos– se necesitaron actores estatales del gobierno ruso para llevar a cabo un ataque de bandera falsa simplemente para demostrar su descontento con el COI. Simplemente, una operación de bandera falsa es cuando un atacante intenta hacer que sus acciones parezcan obra de otro atacante conocido. En el ciberespacio, tal esfuerzo es fácil de lograr, especialmente cuando las tácticas, técnicas y procedimientos (TTP) que a menudo incluyen métodos de operaciones, malware y arquitectura de comando y control se publican para consumo global como indicadores de compromiso. En este caso, el ataque combinó TTP y huellas digitales de actores de amenazas conectados con Corea del Norte, China y Rusia.
Los representantes cibernéticos, como los grupos de hackers no estatales, son agentes perfectos para los estados que desean enviar una señal a un gobierno sin comprometer sus propios recursos. Existe un nivel –aunque superficial– de negación plausible que un Estado agresor puede reclamar y aun así hacerle entender a la víctima su participación tácita en el ataque. Rusia tiene a su disposición una clandestinidad cibercriminal capaz, así como grupos juveniles nacionalistas que podrían haber logrado un efecto similar. Esto quedó evidenciado en cuando uno de esos grupos se atribuyó la responsabilidad de los ataques cibernéticos contra Estonia para la eliminación de un monumento a los caídos en la guerra soviético.
El uso de actores estatales para cometer un ciberequivalente a una rabieta llama la atención. Según una fuente , los piratas informáticos estatales rusos detrás de este ataque eran los mismos que participaron en el ciberataque contra Ucrania. Hacer una declaración pública no parece el tipo de operación que una unidad de élite tendría que ejecutar.
Entonces, ¿por qué la bandera falsa? Hay algunas posibilidades. Primero, Rusia quería probar el uso de los TTP de otras naciones en una operación para evaluar cómo los defensores determinarían sus hallazgos. En segundo lugar, Rusia puede haber “señalado” a naciones como Estados Unidos (y a las empresas del sector privado que siguen sus supuestas actividades) que implementaría banderas falsas en operaciones futuras, esencialmente haciendo que los indicadores técnicos y los análisis digitales y técnicos para la atribución sean inútiles. . Tres, tal vez el ciberataque logró otro objetivo además de expresar su enfado. ¿Ocurrió otro ataque, quizás más subrepticio, simultáneamente contra otro objetivo mientras todas las miradas estaban centradas en éste?
Las operaciones cibernéticas de Rusia (incluidos los ciberataques) han sido descritas desde descuidadas hasta estar entre los actores más avanzados del mundo. Quizás la pregunta que debería hacerse es ¿por qué Rusia quería que se le atribuyera tan fácilmente una operación de “bandera falsa”?
Quizás la respuesta resida en la respuesta más simple: que era simplemente el camino más fácil de tomar. Y en un mundo donde no existe un consenso internacional sobre el comportamiento de los Estados en el ciberespacio, el panorama favorece a los atacantes hasta que los defensores descubren cómo responderles con suficiente convicción para alterar el comportamiento de los atacantes. Nadie parece tener esa respuesta.
Esta es una publicación invitada escrita por Emilio Iasiello.