Symantec acusa a Corea del Norte por WannaCry de forma imprudente

WannaCry ha sido sin dudas un embrollo fenomenal pero aún no sabemos si fue Corea del Norte el culpable o algún otro actor malicioso es responsable, los que disfrutamos con temas de seguridad nos hemos visto de parabienes, pero a poco más de 15 días comenzamos a decantar algunas cosas que resultan obvias.

Ante todo, quiero rescatar la opinión volcada por el Critical Infrastructure Technology cuando fue consultado sobre la teoría de que el ataque estaba relacionado con el gobierno de Corea del Norte, a lo cual el prestigioso instituto al que todos respetamos dijo textual; “premature, inconclusive and distracting” sobre este tema. Pueden notar que he dejado la declaración en el idioma original, para evitar discusiones sobre la interpretación del término en castellano.

Resumen de las relaciones encontradas por Symantec

  • Tras el primer ataque de WannaCry en febrero, se descubrieron tres instancias de malware relacionadas a Lazarus en la red de la víctima: Trojan.Volgmer y dos variantes de Backdoor.Destover, la herramienta que borra el contenido de discos usada en los ataques de Sony Pictures.
  • Trojan.Alphanc, usado para distribuir WannaCry en los ataques de marzo y abril, es una versión modificada de Backdoor.Duuzer, que ya fue relacionado a Lazarus.
  • Trojan.Bravonc usó, para el comando y control, las mismas direcciones de IP de Backdoor.Duuzer y Backdoor.Destover, que fueron relacionadas a Lazarus.
  • Backdoor.Bravonc tiene ofuscación de código similar a WannaCry e Infostealer.Fakepude (que fue relacionado a Lazarus).
  • Existe código compartido entre WannaCry y Backdoor.Contopee, que posee relación anterior a Lazarus.

Destover no es una huella digital

Destover es un viejo vector lanzado por primera vez el 4 de julio de 2009 a objetivos americanos y de Corea del Sur, y se lo conoció como “Memory of the Independence Day”.

Decenas de ataques, no atribuidos a Lazarus han utilizado este vector en el mundo de los cibercriminales cibernéticos, todos sabemos que existen las banderas falsas para intentar desviar las investigaciones como método de intentar desviar las responsabilidades, cuando el atacante reside en países que la ley es severa con estos temas.

Symantec, hace referencia al pequeño ataque realizado en febrero, cuyo modelo de prueba fue modificado en el ataque de 12 de mayo y no quedaron rastros de Destover en el diseño final del vector.

Lo llamativo que surge del análisis del ataque referido cuando comparamos los indicadores de compromiso de Lazarus con los de WannaCry, en ellos no se identificaron IPs de origen relacionadas con Lazarus, ni tampoco fueron utilizados ninguno de los servidores de VPN que habitualmente utilizaron para enmascarar sus ataques.

Las pruebas no son concluyentes como para elaborar una acusación sustentable, y ciertamente efectuar marketing con un tema de seguridad, es poco responsable.

El resto de los vectores denunciados por Symantec, no fueron encontrados en todas las versiones que pudieron identificarse, y difieren notablemente de la versión inicial de febrero de 2017.

De la misma forma que sostuve que Apple fue una empresa irresponsable al hacer marketing de la invulnerabilidad de sus teléfonos, durante el ataque perpetrado en San Bernardino, sostengo que Symantec es imprudente al adelantar un veredicto, sin contar con pruebas sustentables para afirmar de forma profesional, que se identificó a un culpable real.

El próximo miércoles fui invitado por la empresa, para escuchar su teoría y poder determinar de qué orilla queda flotando el humo que se ve sobre el agua.

 

Marcelo Lozano – General Publisher IT CONNECT Latin American Chapter