Mandiant, una empresa de ciberseguridad que fue adquirida recientemente por Google, publicó un informe en el que se detallan algunas de las operaciones cibernéticas de Corea del Norte y cómo el país está utilizando a los hackers para recaudar dinero a través del robo de criptoactivos.
Corea del Norte ha estado empleando a hackers para financiar algunas operaciones estatales a través de «robos de criptomonedas», según un informe de la empresa de ciberseguridad Mandiant.
«Se cree que las operaciones de espionaje del país reflejan las preocupaciones y prioridades inmediatas del régimen, que probablemente se centran actualmente en la adquisición de recursos financieros a través de robos de criptomonedas, el ataque a los medios de comunicación, las noticias y las entidades políticas, la información sobre las relaciones exteriores y la información nuclear, y un ligero descenso en el robo de la investigación de la vacuna COVID-19, que en su día se disparó. «
El informe detalla las operaciones cibernéticas del país y cómo están estructuradas dentro de la Oficina General de Reconocimiento, o RGB, la agencia de inteligencia de Corea del Norte, similar a la CIA o al MI-6. También arroja luz sobre el infame grupo de hackers «Lazarus», que ha estado operando desde Corea del Norte desde 2009.
Según el informe, Lazarus no es un único grupo de hackers, sino un término general que los periodistas utilizan para referirse a numerosos grupos de hackers respaldados por el Estado que operan desde la República Democrática de Corea. Sin embargo, estos diferentes grupos operan en diferentes «sectores» y tienen responsabilidades únicas. Una de las responsabilidades es la recaudación de fondos a través del robo de criptomonedas.
Evaluación de la estructura cibernética de los programas cibernéticos de la RPDC
Última actividad de ciberespionaje
Los grupos de hackers vinculados a Lazarus han estado activos recientemente y estuvieron explotando una vulnerabilidad de Google Chrome desde principios de enero de 2022 hasta mediados de febrero, cuando el exploit fue parcheado.
El Grupo de Análisis de Amenazas de Google, o TAG, dijo en un blog el 24 de marzo que los grupos de atacantes respaldados por el estado de Corea del Norte – rastreados públicamente como «Operación Dream Job» y «Operación AppleJeus» – habían estado explotando una «vulnerabilidad de ejecución remota de código en Chrome» desde principios de enero de 2022 para llevar a cabo varios hacks y ataques de phishing. Adam Weidemann, de TAG, dijo en el blogpost:
El exploit permitía a los hackers enviar falsas ofertas de trabajo a personas que trabajaban en los sectores mencionados, lo que conducía a versiones falsas de populares sitios web de búsqueda de empleo como Indeed.com. El kit de explotación y la suplantación de identidad son similares a los rastreados en la Operación Dream Job. Mientras tanto, otro grupo de hackers ha estado atacando a empresas e intercambios de criptomonedas utilizando el mismo kit de explotación.
Google dijo que alrededor de 340 personas habían sido blanco de los grupos de hackers. Añadió que todos los sitios web y dominios identificados se añadieron a su servicio de navegación segura para proteger a los usuarios y que sigue vigilando la situación.
Lazarus apunta a los servicios financieros y las criptomonedas
Los grupos de hackers vinculados a Lazarus han participado en varios hackeos a empresas de criptomonedas y bancos tradicionales desde hace varios años. Algunos hacks notables incluyen el ciber atraco del Banco de Bangladesh en 2016 y varios ataques relacionados con las criptomonedas en 2017.
El principal grupo de hackers centrado en los ataques a los servicios financieros es APT38, que estuvo detrás del famoso hackeo a SWIFT. Incluye un subgrupo llamado CryptoCore o «Open Password».
La mayoría de estos hackeos han tenido éxito y se calcula que los hackers han recaudado más de 400 millones de dólares para Corea del Norte. Una investigación de la ONU concluyó que los ingresos de estos ciberataques se han utilizado para financiar el programa de misiles balísticos del país ermitaño.
