Los ciberataques de julio de 2009 fueron una serie de ciberataques coordinados contra importantes sitios web gubernamentales, de noticias y financieros en Corea del Sur y Estados Unidos . [1] Los ataques involucraron la activación de una botnet, una gran cantidad de computadoras secuestradas, que accedía maliciosamente a sitios web específicos con la intención de sobrecargar sus servidores debido a la afluencia de tráfico, lo que se conoce como ataque DDoS . [1] La mayoría de las computadoras secuestradas estaban ubicadas en Corea del Sur. [2] El número estimado de computadoras secuestradas varía ampliamente; alrededor de 20.000 según el surcoreanoServicio de Inteligencia Nacional , alrededor de 50.000 según el grupo Security Technology Response de Symantec , [3] y más de 166.000 según un investigador de seguridad informática vietnamita que analizó los archivos de registro de los dos servidores que controlaban los atacantes. [4] Una investigación reveló que al menos 39 sitios web fueron objetivos de los ataques basados en archivos almacenados en sistemas comprometidos. [5] [6]
El objetivo y el momento de los ataques, que comenzaron el mismo día que una prueba de misiles balísticos de corto alcance de Corea del Norte , han dado lugar a sugerencias de que pueden ser de Corea del Norte , aunque estas sugerencias no han sido fundamentadas. [7] [8] [9] Los investigadores luego encontrarían vínculos entre estos ciberataques, los ataques de DarkSeoul en 2013 y otros ataques atribuidos al Grupo Lazarus . [10] Este ataque es considerado por algunos como el comienzo de una serie de ataques DDoS realizados por Lazarus denominada "Operación Troya". [11]
Cronología de los ataques
Primera ola
La primera ola de ataques ocurrió el 4 de julio de 2009 ( día festivo del Día de la Independencia en los Estados Unidos ), contra Estados Unidos y Corea del Sur . Entre los sitios web afectados se encuentran los de la Casa Blanca , el Pentágono , la Bolsa de Valores de Nueva York , el Washington Post , el NASDAQ y Amazon . [1] [12]
Segunda ola
La segunda ola de ataques ocurrió el 7 de julio de 2009 y afectó a Corea del Sur. Entre los sitios web atacados se encuentran la Casa Azul presidencial , el Ministerio de Defensa , el Ministerio de Administración Pública y Seguridad , el Servicio Nacional de Inteligencia y la Asamblea Nacional . [7] [13] [12] El investigador de seguridad Chris Kubecka presentó pruebas de que varias empresas de la Unión Europea y el Reino Unido ayudaron involuntariamente a atacar Corea del Sur debido a una infección W32.Dozer , malware utilizado en parte del ataque. Algunas de las empresas utilizadas en el ataque eran propiedad parcial de varios gobiernos, lo que complica aún más la atribución. [14]
Tercera ola
Una tercera ola de ataques comenzó el 9 de julio de 2009, contra varios sitios web en Corea del Sur, incluido el Servicio de Inteligencia Nacional del país, así como uno de sus bancos más grandes y una agencia de noticias importante. [1] [15] El Departamento de Estado de Estados Unidos dijo el 9 de julio que su sitio web también fue atacado. [16] El portavoz del Departamento de Estado, Ian Kelly, dijo: "Solo voy a hablar sobre nuestro sitio web, el sitio web del gobierno estatal. No hay un gran volumen de ataques. Pero todavía estamos preocupados por eso. Continúan". [16] La portavoz del Departamento de Seguridad Nacional de Estados Unidos , Amy Kudwa, dijo que el departamento estaba al tanto de los ataques y que había emitido un aviso a los departamentos y agencias federales de Estados Unidos para que tomaran medidas para mitigar los ataques. [5]
Efectos
A pesar de que los ataques se dirigieron a los principales sitios web del sector público y privado, la oficina presidencial de Corea del Sur sugirió que los ataques se llevaron a cabo con el propósito de causar interrupciones, en lugar de robar datos. [17] Sin embargo, José Nazario, gerente de una empresa de seguridad de redes de EE. UU., Afirmó que se estima que el ataque produjo solo 23 megabits de datos por segundo, lo que no es suficiente para causar interrupciones importantes. [5] Dicho esto, los sitios web informaron interrupciones del servicio durante los días posteriores al ataque. [8]
Más tarde, se descubrió que el código malicioso responsable del ataque, Trojan.Dozer y su cuentagotas W32.Dozer, estaba programado para destruir los datos de las computadoras infectadas y evitar que las computadoras se reiniciaran. [3] No está claro si este mecanismo se activó alguna vez. Los expertos en seguridad dijeron que el ataque reutilizó el código del gusano Mydoom para propagar infecciones entre computadoras. [3] [6] Los expertos compartieron además que el malware utilizado en el ataque "no utilizó técnicas sofisticadas para evadir la detección por parte del software antivirus y no parece haber sido escrito por alguien con experiencia en codificación de malware". [6]
Se esperaba que los costos económicos asociados con la caída de los sitios web fueran grandes, ya que la interrupción había impedido que las personas realizaran transacciones, compraran artículos o realizaran negocios. [18]
Perpetradores
No se sabe quién está detrás de los ataques. Los informes indican que el tipo de ataques que se utilizan, comúnmente conocidos como ataques distribuidos de denegación de servicio , no eran sofisticados. [9] [5] [19] Dada la naturaleza prolongada de los ataques, están siendo reconocidos como una serie de ataques más coordinada y organizada. [8]
Según el Servicio de Inteligencia Nacional de Corea del Sur, se localizó la fuente de los ataques y el gobierno activó un equipo de respuesta al ciberterrorismo de emergencia que bloqueó el acceso a cinco sitios host que contenían el código malicioso y 86 sitios web que descargaron el código, ubicados en 16 países, incluidos los Estados Unidos, Guatemala , Japón y la República Popular de China , pero Corea del Norte no se encontraba entre ellos. [20]
El momento del ataque llevó a algunos analistas a sospechar de Corea del Norte. El ataque comenzó el 4 de julio de 2009, el mismo día del lanzamiento de un misil balístico de corto alcance de Corea del Norte, y también ocurrió menos de un mes después de la aprobación de la Resolución 1874 del Consejo de Seguridad de la ONU , que impuso más sanciones económicas y comerciales a Corea del Norte. en respuesta a una prueba nuclear subterránea realizada a principios de ese año.
La policía surcoreana analizó una muestra de las miles de computadoras utilizadas por la botnet, afirmando que hay "varias pruebas" de la participación de Corea del Norte o "elementos pro-Norte", pero dijo que es posible que no encuentren al culpable. [21] [18] Funcionarios de inteligencia del gobierno de Corea del Sur advirtieron a los legisladores que "un instituto de investigación militar de Corea del Norte había recibido la orden de destruir las redes de comunicaciones del Sur". [21]
Joe Stewart, investigador de SecureWorks 'Counter Threat Unit, señaló que los datos generados por el programa atacante parecían estar basados en un navegador en coreano. [5]
Varios expertos en seguridad han cuestionado la narrativa de que el ataque se originó en Corea del Norte. Un analista cree que los ataques probablemente provinieron del Reino Unido, mientras que el analista de tecnología Rob Enderle plantea la hipótesis de que los "estudiantes hiperactivos" pueden ser los culpables. [4] [18] Joe Stewart de SecureWorks especuló que el comportamiento de búsqueda de atención impulsó el ataque, aunque señala que la amplitud del ataque fue "inusual". [6]
El 30 de octubre de 2009, la agencia de espionaje de Corea del Sur, el Servicio de Inteligencia Nacional , nombró a Corea del Norte como el autor del ataque. Según el jefe del NIS Won Sei-hoon , la organización encontró un vínculo entre los ataques y Corea del Norte a través de una dirección IP que el Ministerio de Correos y Telecomunicaciones de Corea del Norte supuestamente "[estaba] usando en el alquiler (de China)". [22]
Ver también
- 2007 ciberataques en Estonia
- Terrorismo cibernético
- Ejercicio Cyber Storm
- Laberinto de luz de luna
- Titan Rain
- Comparación de virus informáticos
- Ataque de denegación de servicio
Referencias
- ^ a b c d "Nuevos 'ciberataques' golpean Corea del Sur" . BBC News . 2009-07-09 . Consultado el 9 de julio de 2009 .
- ^ Claburn, Thomas (10 de julio de 2009). "Código de ataque cibernético comienza a matar PC infectadas" . InformationWeek . Consultado el 10 de julio de 2009 .
- ^ a b c Mills, Elinor (10 de julio de 2009). "El gusano botnet en los ataques de DOS podría borrar los datos de las PC infectadas" . Noticias CNET . Consultado el 12 de julio de 2009 .
- ^ a b Williams, Martyn (14 de julio de 2009). "Reino Unido, no Corea del Norte, fuente de ataques DDOS, dice el investigador" . Servicio de noticias IDG. Archivado desde el original el 15 de junio de 2011.
- ^ a b c d e Markoff, John (9 de julio de 2009). "Cyberattacks Jam Gobierno y sitios web comerciales en Estados Unidos y Corea del Sur" . The New York Times . Consultado el 9 de julio de 2009 .
- ^ a b c d Zetter, Kim (8 de julio de 2009). "Hacker perezoso y gusano pequeño desencadenan el frenesí de la guerra cibernética" . Noticias por cable . Consultado el 9 de julio de 2009 .
- ^ a b "Pyongyang culpado como ataque cibernético golpea Corea del Sur" . Financial Times . 2009-07-09 . Consultado el 9 de julio de 2009 .
- ^ a b c Kim, Hyung-Jin (8 de julio de 2009). "Sitios web coreanos y estadounidenses afectados por un presunto ciberataque" . Associated Press. Archivado desde el original el 11 de julio de 2009 . Consultado el 9 de julio de 2009 .
- ^ a b McDevitt, Caitlin (9 de julio de 2009). "Consecuencias del ciberataque" . Reuters . Archivado desde el original el 12 de julio de 2009 . Consultado el 9 de julio de 2009 .
- ^ Zetter, Kim (24 de febrero de 2016). "Los hackers de Sony estaban causando caos años antes de que golpearan a la empresa" . Cableado . ISSN 1059-1028 . Consultado el 14 de diciembre de 2018 .
- ^ Martin, David (4 de marzo de 2016). "Trazando el linaje de DarkSeoul" . Instituto SANS .
- ^ a b "Gobiernos afectados por ciberataques" . BBC News . 2009-07-08 . Consultado el 9 de julio de 2009 .
- ^ "Los ataques cibernéticos golpean los sitios web comerciales y gubernamentales" . Foxreno.com. 2009-07-08. Archivado desde el original el 12 de julio de 2009 . Consultado el 9 de julio de 2009 .
- ^ "28c3: visualización del registro de seguridad con un motor de correlación" . 29 de diciembre de 2011 . Consultado el 4 de noviembre de 2017 .
- ^ "Oficial: sitios web de Corea del Sur bajo ataque renovado" . Associated Press. 2009-07-09. Archivado desde el original el 15 de julio de 2009 . Consultado el 9 de julio de 2009 .
- ^ a b "Departamento de Estado de Estados Unidos bajo ciberataque por cuarto día" . AFP . 2009-07-10.
- ^ "La oficina presidencial de Corea del Sur dice que no hay daños causados por ataques de piratas informáticos" . Xinhua . 2009-07-08 . Consultado el 9 de julio de 2009 .
- ^ a b c Han, Jane (9 de julio de 2009). "Ataque cibernético golpea a Corea por tercer día" . Korea Times . Archivado desde el original el 11 de julio de 2009 . Consultado el 9 de julio de 2009 .
- ^ Arnoldy, Ben (9 de julio de 2009). "Los ciberataques contra Estados Unidos y Corea del Sur indican ira, no peligro" . Monitor de la Ciencia Cristiana .
- ^ Jiyeon, Lee (11 de julio de 2009). "Cyberatack rocks South Korea" . GlobalPost . Consultado el 11 de julio de 2009 .
- ^ a b Kim, Kwang-Tae (12 de julio de 2009). "Corea del Sur analiza las computadoras utilizadas en los ciberataques" . Associated Press. Archivado desde el original el 16 de julio de 2009 . Consultado el 12 de julio de 2009 .
- ^ "Ministerio de Corea del Norte detrás de los ciberataques de julio: jefe de espías" . Yonhap . 30 de octubre de 2009.