Este ataque es muy similar al realizado el 2009 durante el día de la Independencia de Estados Unidos. En esa oportunidad se detectó un botnet con sede en Corea del Sur, afectando la infraestructura crítica (DDoS) de 40 sitios web afiliados con el gobierno surcoreano y el Ejército como también a las fuerzas de EE.UU apostadas en dicho país.
Este nuevo acontecimiento, según estima la investigación de McAfee,- se le atribuye a Corea de Norte luego de haber analizado un botnet que contenía más de 21.000 computadoras infectadas y que provenía desde ese país asiático.
Varios algoritmos de cifrado, como AES, RC4, RSA se utilizaron para ocultar numerosas partes del código y de la configuración de los componentes del ataque para frenar el análisis. Más de 40 distribuciones a nivel mundial de múltiples servidores de nivel de mando y control (EE.UU., Taiwán, Arabia Saudita, Rusia e India representaron más de la mitad de todos los servidores) fueron utilizados para actualizar dinámicamente el malware y sus configuraciones fueron diseñados para ser muy resistentes.
El proceso comenzó el 4 de marzo cuando miles de ordenadores tomaron parte de un Ataque Distribuido de Denegación de Servicio (DDoS) contra 14 sitios web de Corea del Sur. Después de diez días, el malware estaba diseñado para dejar de actuar y autoeliminarse de los ordenadores infectados. Antes de ello, era capaz de corromper el registro de inicio maestro (Master Boot Record, MBR) para hacer que los equipos no pudieran encenderse.
Según estima McAfee, el objetivo detrás de estos ataques tiene una clara motivación política y en contra de Corea del Sur y, potencialmente, es aún más malicioso. El nivel de cifrado y la ofuscación en todas las capas del malware y su método de distribución, así como la rápida continuación de la destrucción de los datos y las máquinas, indican que uno de los objetivos principales era impedir un rápido análisis y eliminación por parte de las autoridades surcoreanas.
La propia empresa de seguridad expresó que esto puede haberse tratado de una prueba o una operación armada de reconocimiento de tipo cibernético llevado a cabo por el ejército de Corea del Norte. Según la Agencia Nacional de Inteligencia de Corea del Sur, la finalidad de este ataque era testear las defensas y el tiempo de reacción del gobierno surcoreanos y redes civiles ante una catástrofe de índole cibernética.
McAfee publicó un artículo en profundidad sobre este incidente y el análisis del mismo, detallando información sobre:
-Los sitios Web de destino y la metodología de los ataques DDoS.
-Los algoritmos de cifrado diferentes en el lugar y la forma en que se han utilizado para determinar el análisis.
-Errores de interés cometidos por los actores involucrados.
-Reconocimiento teoría y el análisis de intención.
