Ataques DDoS de 2009 contra Corea del Sur

Serie de ciberataques contra Corea del Sur y Estados Unidos

Los ciberataques de julio de 2009 fueron una serie de ciberataques coordinados contra importantes sitios web gubernamentales, de medios de comunicación y financieros en Corea del Sur y Estados Unidos . ^[1] Los ataques implicaron la activación de una botnet —una gran cantidad de computadoras secuestradas— que accedieron maliciosamente a sitios web específicos con la intención de provocar que sus servidores se sobrecargaran debido a la afluencia de tráfico, conocido como ataque DDoS . ^[1] La mayoría de las computadoras secuestradas estaban ubicadas en Corea del Sur. ^[2] El número estimado de computadoras secuestradas varía ampliamente; alrededor de 20.000 según el Servicio de Inteligencia Nacional de Corea del Sur , alrededor de 50.000 según el grupo de Respuesta de Tecnología de Seguridad de Symantec , ^[3] y más de 166.000 según un investigador de seguridad informática vietnamita que analizó los archivos de registro de los dos servidores que controlaban los atacantes. ^[4] Una investigación reveló que al menos 39 sitios web fueron objetivos de los ataques basados ​​en archivos almacenados en sistemas comprometidos. ^{[5] [6]}

El objetivo y el momento de los ataques, que comenzaron el mismo día que una prueba de un misil balístico de corto alcance de Corea del Norte, han llevado a sugerir que pueden ser de Corea del Norte , aunque estas sugerencias no han sido corroboradas. ^{[7] [8] [9]} Los investigadores encontrarían más tarde vínculos entre estos ciberataques, los ataques de DarkSeoul en 2013 y otros ataques atribuidos al Grupo Lazarus . ^[10] Algunos consideran que este ataque es el comienzo de una serie de ataques DDoS llevados a cabo por Lazarus denominados "Operación Troya". ^[11]

Cronología de los ataques

Primera ola

La primera ola de ataques se produjo el 4 de julio de 2009 ( día de la Independencia de Estados Unidos ), y tuvo como objetivo tanto a Estados Unidos como a Corea del Sur . Entre los sitios web afectados se encontraban los de la Casa Blanca , el Pentágono , la Bolsa de Nueva York , el Washington Post , el NASDAQ y Amazon . ^{[1] [12]}

Segunda ola

La segunda ola de ataques ocurrió el 7 de julio de 2009, afectando a Corea del Sur. Entre los sitios web atacados estaban la Casa Azul presidencial , el Ministerio de Defensa , el Ministerio de Administración Pública y Seguridad , el Servicio Nacional de Inteligencia y la Asamblea Nacional . ^{[7] [13] [12]} El investigador de seguridad Chris Kubecka presentó evidencia de que varias empresas de la Unión Europea y el Reino Unido ayudaron involuntariamente a atacar a Corea del Sur debido a una infección de W32.Dozer, malware utilizado en parte del ataque. Algunas de las empresas utilizadas en el ataque eran parcialmente propiedad de varios gobiernos, lo que complica aún más la atribución. ^[14]

Visualización de los ataques cibernéticos de 2009 contra Corea del Sur

Tercera ola

El 9 de julio de 2009 se inició una tercera ola de ataques dirigidos contra varios sitios web de Corea del Sur, entre ellos el Servicio Nacional de Inteligencia del país , así como uno de sus mayores bancos y una importante agencia de noticias. ^{[1] [15]} El Departamento de Estado de Estados Unidos dijo el 9 de julio que su sitio web también había sido atacado. ^[16] El portavoz del Departamento de Estado, Ian Kelly, dijo: "Voy a hablar sólo de nuestro sitio web, el sitio web del gobierno estatal. No hay un gran volumen de ataques, pero aún estamos preocupados por ello. Siguen ocurriendo". ^{[16] La portavoz} del Departamento de Seguridad Nacional de Estados Unidos, Amy Kudwa, dijo que el departamento estaba al tanto de los ataques y que había emitido un aviso a los departamentos y agencias federales de Estados Unidos para que tomaran medidas para mitigar los ataques. ^[5]

Efectos

A pesar de que los ataques se dirigieron a importantes sitios web del sector público y privado, la oficina presidencial de Corea del Sur sugirió que los ataques se llevaron a cabo con el propósito de causar interrupciones, en lugar de robar datos. ^[17] Sin embargo, José Nazario, gerente de una empresa de seguridad de redes estadounidense, afirmó que se estima que el ataque produjo solo 23 megabits de datos por segundo, no lo suficiente como para causar interrupciones importantes. ^[5] Dicho esto, los sitios web informaron interrupciones del servicio durante los días posteriores al ataque. ^[8]

Más tarde, se descubrió que el código malicioso responsable del ataque, Trojan.Dozer y su dropper W32.Dozer, estaban programados para destruir datos en los equipos infectados y evitar que se reiniciaran. ^[3] No está claro si este mecanismo se activó alguna vez. Los expertos en seguridad dijeron que el ataque reutilizó el código del gusano Mydoom para propagar infecciones entre equipos. ^{[3] [6]} Los expertos también dijeron que el malware utilizado en el ataque "no utilizó técnicas sofisticadas para evadir la detección del software antivirus y no parece haber sido escrito por alguien con experiencia en la codificación de malware". ^[6]

Se esperaba que los costos económicos asociados con la caída de los sitios web fueran altos, ya que la interrupción había impedido a las personas realizar transacciones, comprar artículos o realizar negocios. ^[18]

Perpetradores

No se sabe quién está detrás de los ataques. Los informes indican que el tipo de ataques que se están utilizando, comúnmente conocidos como ataques distribuidos de denegación de servicio , no eran sofisticados. ^{[9] [5] [19]} Dada la naturaleza prolongada de los ataques, se los está reconociendo como una serie de ataques más coordinados y organizados. ^[8]

Según el Servicio de Inteligencia Nacional de Corea del Sur, se rastreó la fuente de los ataques y el gobierno activó un equipo de respuesta de emergencia al ciberterrorismo que bloqueó el acceso a cinco sitios host que contenían el código malicioso y 86 sitios web que descargaron el código, ubicados en 16 países, incluidos Estados Unidos, Guatemala , Japón y la República Popular China , pero Corea del Norte no estaba entre ellos. ^[20]

El momento del ataque hizo que algunos analistas sospecharan de Corea del Norte. El ataque comenzó el 4 de julio de 2009, el mismo día en que Corea del Norte lanzó un misil balístico de corto alcance, y también ocurrió menos de un mes después de la aprobación de la Resolución 1874 del Consejo de Seguridad de las Naciones Unidas , que impuso más sanciones económicas y comerciales a Corea del Norte en respuesta a una prueba nuclear subterránea realizada ese mismo año.

La policía surcoreana analizó una muestra de los miles de ordenadores utilizados por la botnet y afirmó que existen "varias pruebas" de la participación de Corea del Norte o de "elementos pro-Norte", pero dijo que es posible que no encuentren al culpable. ^{[21] [18]} Los funcionarios de inteligencia del gobierno surcoreano advirtieron a los legisladores que "se había ordenado a un instituto de investigación militar norcoreano que destruyera las redes de comunicaciones del Sur". ^[21]

Joe Stewart, investigador de la Unidad de Contraamenazas de SecureWorks , señaló que los datos generados por el programa atacante parecían estar basados ​​en un navegador en idioma coreano. ^[5]

Varios expertos en seguridad han cuestionado la versión de que el ataque se originó en Corea del Norte. Un analista cree que los ataques probablemente vinieron del Reino Unido, mientras que el analista tecnológico Rob Enderle plantea la hipótesis de que los "estudiantes hiperactivos" pueden ser los culpables. ^{[4] [18]} Joe Stewart de SecureWorks especuló que el comportamiento de búsqueda de atención impulsó el ataque, aunque señala que la amplitud del ataque fue "inusual". ^[6]

El 30 de octubre de 2009, la agencia de espionaje de Corea del Sur, el Servicio Nacional de Inteligencia , señaló a Corea del Norte como autor del ataque. Según el director del NIS, Won Sei-hoon , la organización encontró un vínculo entre los ataques y Corea del Norte a través de una dirección IP que el Ministerio de Correos y Telecomunicaciones de Corea del Norte supuestamente "[estaba] utilizando en alquiler (a China)". ^[22]

Véase también

• Ciberataques en Estonia en 2007
• Ciberterrorismo
• Ejercicio de tormenta cibernética
• Laberinto de luz de luna
• Lluvia de titanes
• Comparación de virus informáticos
• Ataque de denegación de servicio

Referencias

1. "Nuevos 'ciberataques' golpean a Corea del Sur". BBC News . 2009-07-09 . Consultado el 2009-07-09 .
2. Claburn, Thomas (10 de julio de 2009). "El código de un ciberataque comienza a matar a los equipos infectados". InformationWeek . Archivado desde el original el 13 de julio de 2009. Consultado el 10 de julio de 2009 .
3. Mills, Elinor (10 de julio de 2009). "Un gusano de botnet en ataques DOS podría borrar datos de las PC infectadas". CNET News . Archivado desde el original el 29 de julio de 2009. Consultado el 12 de julio de 2009 .
4. Williams, Martyn (14 de julio de 2009). "Reino Unido, no Corea del Norte, fuente de ataques DDOS, dice un investigador". IDG News Service. Archivado desde el original el 15 de junio de 2011.
5. Markoff, John (9 de julio de 2009). "Los ciberataques bloquean sitios web gubernamentales y comerciales en Estados Unidos y Corea del Sur". The New York Times . Consultado el 9 de julio de 2009 .
6. Zetter, Kim (8 de julio de 2009). "Un hacker perezoso y un pequeño gusano desencadenan un frenesí cibernético". Wired News . Consultado el 9 de julio de 2009 .
7. "Pyongyang acusado de ciberataque a Corea del Sur". Financial Times . 9 de julio de 2009. Archivado desde el original el 20 de septiembre de 2014. Consultado el 9 de julio de 2009 .
8. Kim, Hyung-Jin (8 de julio de 2009). «Sitios web coreanos y estadounidenses afectados por un presunto ciberataque». Associated Press. Archivado desde el original el 11 de julio de 2009. Consultado el 9 de julio de 2009 .
9. McDevitt, Caitlin (9 de julio de 2009). "Cyberattack Aftermath". Reuters . Archivado desde el original el 12 de julio de 2009. Consultado el 9 de julio de 2009 .
10. Zetter, Kim (24 de febrero de 2016). "Los hackers de Sony causaron estragos años antes de atacar a la empresa". Wired . ISSN  1059-1028 . Consultado el 14 de diciembre de 2018 .
11. Martin, David (4 de marzo de 2016). "Trazando el linaje de DarkSeoul". SANS Institute .
12. "Gobiernos afectados por ciberataques". BBC News . 2009-07-08 . Consultado el 2009-07-09 .
13. "Ataques cibernéticos a sitios web gubernamentales y comerciales". Foxreno.com. 8 de julio de 2009. Archivado desde el original el 12 de julio de 2009. Consultado el 9 de julio de 2009 .
14. "28c3: Visualización de registros de seguridad con un motor de correlación". 29 de diciembre de 2011. Archivado desde el original el 21 de diciembre de 2021. Consultado el 4 de noviembre de 2017 .
15. "Oficial: sitios web de Corea del Sur bajo nuevos ataques". Associated Press. 9 de julio de 2009. Archivado desde el original el 15 de julio de 2009. Consultado el 9 de julio de 2009 .
16. "El Departamento de Estado de Estados Unidos sufre un ciberataque por cuarto día consecutivo". AFP . 10 de julio de 2009. Archivado desde el original el 9 de abril de 2010.
17. "La oficina presidencial de Corea del Sur dice que no se han producido daños a causa de los ataques de piratas informáticos". Xinhua . 8 de julio de 2009. Archivado desde el original el 13 de julio de 2009. Consultado el 9 de julio de 2009 .
18. Han, Jane (9 de julio de 2009). "Ataque cibernético en Corea por tercer día consecutivo". Korea Times . Archivado desde el original el 11 de julio de 2009. Consultado el 9 de julio de 2009 .
19. Arnoldy, Ben (9 de julio de 2009). "Los ataques cibernéticos contra Estados Unidos y Corea del Sur son una señal de ira, no de peligro". Christian Science Monitor .
20. Jiyeon, Lee (11 de julio de 2009). "Ciberataque sacude a Corea del Sur". GlobalPost . Consultado el 11 de julio de 2009 .
21. Kim, Kwang-Tae (12 de julio de 2009). «Corea del Sur analiza los ordenadores utilizados en los ciberataques». Associated Press. Archivado desde el original el 16 de julio de 2009. Consultado el 12 de julio de 2009 .
22. "Ministerio norcoreano detrás de los ciberataques de julio: jefe de espionaje". Yonhap . 30 de octubre de 2009.