Acusan a sospechoso de extensa operación de espionaje de grupo norcoreano
Estados Unidos y otros países están poniendo el foco sobre un grupo de hackers respaldados por Corea del Norte que está llevando a cabo campañas de ciberespionaje en todo el mundo para robar secretos clasificados que puedan usarse para el programa de armas nucleares del país.
Al mismo tiempo, los investigadores de la unidad de ciberseguridad Mandiant de Google están detallando cómo el grupo de amenazas APT45 (también conocido como Anadriel y Onyx Sleet y forma parte de las operaciones de inteligencia de Corea del Norte) ha ampliado recientemente sus capacidades para incluir operaciones de ransomware contra organizaciones de servicios financieros.
Las agencias de ciberseguridad de los Estados Unidos incluyen habitualmente a Corea del Norte –o la República Popular Democrática de Corea (RPDC)– entre los principales centros –junto con Rusia, China e Irán– de ciberataques patrocinados por estados, incluso a través del notorio Grupo Lazarus y sus numerosos subgrupos y mediante una variedad de otros esquemas, incluidos ataques a la cadena de suministro de software y la infiltración de agentes norcoreanos como trabajadores de TI en empresas de todo el mundo.
El objetivo principal de APT45, Lazarus y otros delitos cibernéticos es recaudar dinero y robar información que pueda utilizarse para los programas nucleares y de misiles balísticos del país, eludiendo las sanciones implementadas por Estados Unidos y otros países.
En un comunicado conjunto emitido esta semana , Estados Unidos, el Reino Unido y Corea del Sur describieron las innumerables campañas de APT45 dirigidas a organizaciones de defensa, aeroespaciales, nucleares y de ingeniería de los países para robar información técnica confidencial y confidencial. La amenaza no solo afecta a los tres países, sino también a Japón y la India.
Además, APT45, que forma parte de la Tercera Oficina del Buró General de Reconocimiento (RGB) de Corea del Norte, una unidad de inteligencia militar, está utilizando ataques de ransomware contra organizaciones de atención médica estadounidenses para financiar sus actividades de espionaje cibernético, una tendencia señalada por los investigadores de Mandiant en su informe de esta semana.
Cómo funcionan
“Los actores obtienen acceso inicial a través de la explotación generalizada de servidores web mediante vulnerabilidades conocidas en el software, como Log4j , para implementar un shell web y obtener acceso a información y aplicaciones sensibles para una mayor explotación”, escribieron las agencias en el aviso de 30 páginas.
Desde allí, establecen la persistencia en los sistemas comprometidos, aumentan los privilegios a través de herramientas comunes de robo de información como Mimikatz y luego implementan malware personalizado, herramientas de acceso remoto y software de código abierto para moverse lateralmente a través de las redes y exfiltrar datos. También ejecutan ataques de phishing.
Los piratas informáticos de APT45 tienen como objetivo una amplia gama de industrias y buscan robar información sobre todo, desde tanques y buques de guerra hasta submarinos, aviones de combate, drones, misiles y sistemas de defensa antimisiles y satélites. También han robado datos sobre el procesamiento y enriquecimiento de uranio, información relacionada con la energía nuclear sobre plantas de energía, instalaciones gubernamentales e investigación, construcción naval y robótica.
Los funcionarios del Departamento de Justicia y del FBI dijeron que entre los objetivos en Estados Unidos se encuentran bases de la NASA y de la Fuerza Aérea en Georgia y Texas. Otras entidades, entre ellas contratistas de defensa de Corea del Sur y Taiwán y una empresa energética china, también fueron víctimas.
“La operación global de ciberespionaje que hemos revelado hoy muestra hasta dónde están dispuestos a llegar los actores patrocinados por el Estado de la RPDC para llevar adelante sus programas militares y nucleares”, dijo Paul Chichester, director de operaciones del Centro Nacional de Ciberseguridad del Reino Unido, en un comunicado . “Esto debería recordar a los operadores de infraestructuras críticas la importancia de proteger la información sensible y la propiedad intelectual que tienen en sus sistemas para evitar el robo y el uso indebido”.
Acusan a un agente norcoreano
Esta semana, el Departamento de Justicia acusó a un agente norcoreano que se cree que forma parte de APT45 por su papel en una conspiración que implicaba el uso de un ransomware desarrollado por Corea del Norte para atacar hospitales y otras organizaciones de atención médica de Estados Unidos. RIM y sus co-conspiradores luego blanquearon el dinero exigido y lo utilizaron para financiar otros ciberataques a entidades gubernamentales, de defensa y tecnológicas en todo el mundo.
Según funcionarios del Departamento de Justicia, Rim Jong Hyok formaba parte del grupo que utilizó el ransomware Maui para atacar a los proveedores de atención médica de Estados Unidos en una campaña que las autoridades estadounidenses desmantelaron hace dos años. Él y otros blanqueaban las criptomonedas que pagaban las víctimas con la ayuda de facilitadores en Hong Kong.
“En al menos un caso, estos facilitadores de Hong Kong convirtieron los fondos del rescate de criptomonedas a yuanes chinos”, dijo el Departamento de Justicia. “Luego se accedió al yuan desde un cajero automático en China en las inmediaciones del Puente de la Amistad Sino-Coreano, que conecta Dandong, China, y Sinuiju, Corea del Norte, con al menos una de estas organizaciones”.
El dinero se utilizó para alquilar servidores virtuales privados con el fin de lanzar ataques contra organizaciones de defensa, tecnología y otras organizaciones en Estados Unidos. Los actores de APT45 robaron terabytes de datos, como información no clasificada sobre empleados del gobierno estadounidense, información técnica antigua sobre aeronaves militares, propiedad intelectual e información técnica limitada sobre proyectos marítimos y de procesamiento de uranio, según el Departamento de Justicia y el FBI.
Junto con la acusación contra Rim, el Departamento de Justicia dijo que interceptó alrededor de 114.000 dólares en ganancias en criptomonedas provenientes de ataques de ransomware y operaciones de lavado de dinero y confiscó cuentas en línea que los conspiradores usaban para sus operaciones cibernéticas. También confiscaron alrededor de 500.000 dólares en criptomonedas que se pagaron como rescate y transacciones relacionadas con el lavado de dinero. Las agencias también están ofreciendo una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación y ubicación de Rim, quien se cree que se encuentra en Corea del Norte.
Las prioridades cambiantes de la RPDC
La expansión de APT45 hacia el ransomware refleja las “prioridades cambiantes de la RPDC”, escribieron en su informe los investigadores de Mandiant Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan y Michael Barnhart. Desde al menos 2009, el grupo llevó a cabo operaciones de ciberamenazas que se alineaban con “los intereses geopolíticos cambiantes del estado norcoreano”, escribieron en su informe de esta semana. Ahora hay un componente de ransomware que incluye tanto el desarrollo como la implementación del malware.
“Además, si bien varios grupos vinculados con la RPDC se centraron en la atención médica y los productos farmacéuticos durante las etapas iniciales de la pandemia de COVID-19, APT45 ha seguido apuntando a este sector vertical durante más tiempo que otros grupos, lo que sugiere un mandato permanente para recopilar información relacionada”, escribieron los investigadores. “Por otra parte, el grupo ha llevado a cabo operaciones contra entidades relacionadas con la energía nuclear, lo que subraya su papel en el apoyo a las prioridades de la RPDC”.
El sector financiero como objetivo
Dicho esto, APT45 ya había atacado a empresas del sector financiero en 2016, utilizando el malware RIFLE contra una organización surcoreana. En 2021, se descubrió que el grupo utilizaba un ataque de phishing dirigido contra un banco del sur de Asia.
En 2019, los actores de amenazas atacaron instalaciones de investigación nuclear y energía en India y un año después apuntaron a la división de ciencia agrícola de una corporación multinacional, probablemente vinculado a la caída acelerada de la producción agrícola en Corea del Norte después de que el país cerrara el comercio transfronterizo a medida que se propagaba la pandemia de COVID-19.
Varios grupos de amenazas norcoreanos centraron su atención en empresas farmacéuticas y de atención médica durante un probable brote de COVID-19 en el país en 2021, aunque APT ha seguido apuntando a dichas organizaciones.
El uso del ransomware Maui surgió en 2022, aunque un año antes, la firma de ciberseguridad Kaspersky vinculó presuntos clústeres APT45 con el uso de Shattered Glass, un ransomware descubierto por Mandiant.
“APT45 es uno de los operadores cibernéticos de Corea del Norte más antiguos y la actividad del grupo refleja las prioridades geopolíticas del régimen, incluso cuando las operaciones han pasado del ciberespionaje clásico contra entidades gubernamentales y de defensa a incluir la atención médica y la ciencia de los cultivos”, escribieron los investigadores de Mandiant. “La actividad con motivaciones financieras que ocurre junto con la recopilación de inteligencia se ha convertido en una característica definitoria de las operaciones cibernéticas de Corea del Norte, y esperamos que APT45 continúe con ambas misiones”.
Fuente: securityboulevard