Analizando quién está detrás del ¿ciberataque? a TVs y bancos de Corea del Sur

Las redacciones de muchos periódicos y agencias de noticias están que echan humo desde que esta madrugada (06:00 en España y 14:00 en Corea del Sur) se supo  que las redes informáticas de al menos tres estaciones de televisión surcoreanas y dos de sus bancos más importantes habían sufrido interrupciones en su servicio.

Inmediatamente se encendieron las alarmas, algo comprensible en un país con una relación tan tensa con su vecino Corea del Norte, y más aún desde que este último acusara a sus enemigos de haber lanzado un ataque informático contra sus instalaciones. No han sido pocos los medios que han acusado al régimen norcoreano de estar detrás de estos incidentes, pero eso, como en el caso de los supuestos ciberataques realizados desde China, es ir a por los sospechosos habituales sin prueba alguna.

Aunque las noticias que nos han llegado desde Corea del Sur son confusas, desde el laboratorio de ESET en Ontinet.com hemos tratado de recopilar el máximo de información posible para analizar este caso con calma e intentar averiguar quién se esconde detrás de este suceso.

El grueso del incidente fue producido por la súbita caída de las redes de varias estaciones de televisión y bancos, algo que más de un gobierno podría considerar infraestructuras críticas y que hizo que el ejército surcoreano se pusiera en estado de máxima alerta. No obstante, si nos fijamos en los detalles, varios medios también indicaron que algunos ordenadores se colgaron y no pudieron ser reiniciados, mostrando mensajes de error en la pantalla.

Algunos de los servicios de los bancos atacados también se vieron afectados, como la banca electrónica y los cajeros automáticos, aunque fueron reestablecidos poco después. Asimismo, el proveedor de Internet surcoreano LG Uplus también mostró sus sospechas de que su red se hubiese visto comprometida al descubrirse una web comprometida  por un grupo autodenominado “Whois team” y que dejó el siguiente mensaje:

Hasta aquí, y de ser cierta toda la información que se ha publicado, parece que se ha generado mucho ruido, demasiado para ser un ciberataque entre países, ya que estos se caracterizan por pasar desapercibidos durante largos periodos de tiempo. Es más, a las pocas horas de ocurrir este incidente, una compañía de seguridad local analizaba lo que parecía ser una muestra del malware usado en este incidente.

Tras este análisis, se ha podido comprobar que este malware sobrescribía el MBR de la máquina infectada, lo que explicaría por qué algunos sistemas no podían reiniciarse. Además, se han encontrado dos cadenas de texto en el código del malware: PRINCPES y HASTATI. Desconocemos el significado de la primera, pero Hastati parece hacer referencia a los Asteros o soldados de infantería ligera de los ejércitos de la República Romana. Puede que los perpetradores de este ataque los hayan tomado como símbolo o puede ser una mera casualidad.

Lo que parece confirmarse si analizamos casos anteriores, es que este incidente parece más obra de un grupo de ciberterroristas o incluso de un grupo que solo quería ganar popularidad que de un ataque organizado por otro país. Si bien las infraestructuras atacadas pueden considerarse críticas, el modus operandi responde al de las amenazas de la vieja escuela, con un grupo de gente que quiere ganar notoriedad mostrando el nombre de su grupo, realizando defacements y utilizando malware para causar daño inmediato a los sistemas infectados.

Aún es pronto para lanzar acusaciones e igual nuestras conjeturas están equivocadas, pero es muy sospechoso que, pudiendo realizar una labor de espionaje como suele ser común en los ciberataques entre países, se decida dañar sistemas e intentar ganar notoriedad. Seguiremos alerta por si se producen nuevas noticias sobre este tema para informar a nuestros lectores.

Josep Albors