Los ciberataques de julio de 2009 fueron una serie de ciberataques coordinados contra importantes sitios web gubernamentales, de medios de comunicación y financieros en Corea del Sur y Estados Unidos . [1] Los ataques implicaron la activación de una botnet —una gran cantidad de computadoras secuestradas— que accedieron maliciosamente a sitios web específicos con la intención de provocar que sus servidores se sobrecargaran debido a la afluencia de tráfico, conocido como ataque DDoS . [1] La mayoría de las computadoras secuestradas estaban ubicadas en Corea del Sur. [2] El número estimado de computadoras secuestradas varía ampliamente; alrededor de 20.000 según el Servicio de Inteligencia Nacional de Corea del Sur , alrededor de 50.000 según el grupo de Respuesta de Tecnología de Seguridad de Symantec , [3] y más de 166.000 según un investigador de seguridad informática vietnamita que analizó los archivos de registro de los dos servidores que controlaban los atacantes. [4] Una investigación reveló que al menos 39 sitios web fueron objetivos de los ataques basados en archivos almacenados en sistemas comprometidos. [5] [6]
El objetivo y el momento de los ataques, que comenzaron el mismo día que una prueba de un misil balístico de corto alcance de Corea del Norte, han llevado a sugerir que pueden ser de Corea del Norte , aunque estas sugerencias no han sido corroboradas. [7] [8] [9] Los investigadores encontrarían más tarde vínculos entre estos ciberataques, los ataques de DarkSeoul en 2013 y otros ataques atribuidos al Grupo Lazarus . [10] Algunos consideran que este ataque es el comienzo de una serie de ataques DDoS llevados a cabo por Lazarus denominados "Operación Troya". [11]
La primera ola de ataques se produjo el 4 de julio de 2009 ( día de la Independencia de Estados Unidos ), y tuvo como objetivo tanto a Estados Unidos como a Corea del Sur . Entre los sitios web afectados se encontraban los de la Casa Blanca , el Pentágono , la Bolsa de Nueva York , el Washington Post , el NASDAQ y Amazon . [1] [12]
La segunda ola de ataques ocurrió el 7 de julio de 2009, afectando a Corea del Sur. Entre los sitios web atacados estaban la Casa Azul presidencial , el Ministerio de Defensa , el Ministerio de Administración Pública y Seguridad , el Servicio Nacional de Inteligencia y la Asamblea Nacional . [7] [13] [12] El investigador de seguridad Chris Kubecka presentó evidencia de que varias empresas de la Unión Europea y el Reino Unido ayudaron involuntariamente a atacar a Corea del Sur debido a una infección de W32.Dozer, malware utilizado en parte del ataque. Algunas de las empresas utilizadas en el ataque eran parcialmente propiedad de varios gobiernos, lo que complica aún más la atribución. [14]
El 9 de julio de 2009 se inició una tercera ola de ataques dirigidos contra varios sitios web de Corea del Sur, entre ellos el Servicio Nacional de Inteligencia del país , así como uno de sus mayores bancos y una importante agencia de noticias. [1] [15] El Departamento de Estado de Estados Unidos dijo el 9 de julio que su sitio web también había sido atacado. [16] El portavoz del Departamento de Estado, Ian Kelly, dijo: "Voy a hablar sólo de nuestro sitio web, el sitio web del gobierno estatal. No hay un gran volumen de ataques, pero aún estamos preocupados por ello. Siguen ocurriendo". [16] La portavoz del Departamento de Seguridad Nacional de Estados Unidos, Amy Kudwa, dijo que el departamento estaba al tanto de los ataques y que había emitido un aviso a los departamentos y agencias federales de Estados Unidos para que tomaran medidas para mitigar los ataques. [5]
A pesar de que los ataques se dirigieron a importantes sitios web del sector público y privado, la oficina presidencial de Corea del Sur sugirió que los ataques se llevaron a cabo con el propósito de causar interrupciones, en lugar de robar datos. [17] Sin embargo, José Nazario, gerente de una empresa de seguridad de redes estadounidense, afirmó que se estima que el ataque produjo solo 23 megabits de datos por segundo, no lo suficiente como para causar interrupciones importantes. [5] Dicho esto, los sitios web informaron interrupciones del servicio durante los días posteriores al ataque. [8]
Más tarde, se descubrió que el código malicioso responsable del ataque, Trojan.Dozer y su dropper W32.Dozer, estaban programados para destruir datos en los equipos infectados y evitar que se reiniciaran. [3] No está claro si este mecanismo se activó alguna vez. Los expertos en seguridad dijeron que el ataque reutilizó el código del gusano Mydoom para propagar infecciones entre equipos. [3] [6] Los expertos también dijeron que el malware utilizado en el ataque "no utilizó técnicas sofisticadas para evadir la detección por parte del software antivirus y no parece haber sido escrito por alguien con experiencia en la codificación de malware". [6]
Se esperaba que los costos económicos asociados con la caída de los sitios web fueran altos, ya que la interrupción había impedido a las personas realizar transacciones, comprar artículos o realizar negocios. [18]
No se sabe quién está detrás de los ataques. Los informes indican que el tipo de ataques que se están utilizando, comúnmente conocidos como ataques distribuidos de denegación de servicio , no eran sofisticados. [9] [5] [19] Dada la naturaleza prolongada de los ataques, se los está reconociendo como una serie de ataques más coordinados y organizados. [8]
Según el Servicio de Inteligencia Nacional de Corea del Sur, se rastreó la fuente de los ataques y el gobierno activó un equipo de respuesta de emergencia al ciberterrorismo que bloqueó el acceso a cinco sitios host que contenían el código malicioso y 86 sitios web que descargaron el código, ubicados en 16 países, incluidos Estados Unidos, Guatemala , Japón y la República Popular China , pero Corea del Norte no estaba entre ellos. [20]
El momento del ataque hizo que algunos analistas sospecharan de Corea del Norte. El ataque comenzó el 4 de julio de 2009, el mismo día en que Corea del Norte lanzó un misil balístico de corto alcance, y también ocurrió menos de un mes después de la aprobación de la Resolución 1874 del Consejo de Seguridad de las Naciones Unidas , que impuso más sanciones económicas y comerciales a Corea del Norte en respuesta a una prueba nuclear subterránea realizada ese mismo año.
La policía surcoreana analizó una muestra de los miles de ordenadores utilizados por la red de bots y afirmó que existen "varias pruebas" de la participación de Corea del Norte o de "elementos pro-Norte", pero dijo que es posible que no encuentren al culpable. [21] [18] Los funcionarios de inteligencia del gobierno surcoreano advirtieron a los legisladores que "se había ordenado a un instituto de investigación militar norcoreano que destruyera las redes de comunicaciones del Sur". [21]
Joe Stewart, investigador de la Unidad de Contraamenazas de SecureWorks , señaló que los datos generados por el programa atacante parecían estar basados en un navegador en idioma coreano. [5]
Varios expertos en seguridad han cuestionado la versión de que el ataque se originó en Corea del Norte. Un analista cree que los ataques probablemente vinieron del Reino Unido, mientras que el analista tecnológico Rob Enderle plantea la hipótesis de que los "estudiantes hiperactivos" pueden ser los culpables. [4] [18] Joe Stewart de SecureWorks especuló que el comportamiento de búsqueda de atención impulsó el ataque, aunque señala que la amplitud del ataque fue "inusual". [6]
El 30 de octubre de 2009, la agencia de espionaje de Corea del Sur, el Servicio Nacional de Inteligencia , señaló a Corea del Norte como autor del ataque. Según el director del NIS, Won Sei-hoon , la organización encontró un vínculo entre los ataques y Corea del Norte a través de una dirección IP que el Ministerio de Correos y Telecomunicaciones de Corea del Norte supuestamente "[estaba] utilizando en alquiler (a China)". [22]