1
 

Corea del Norte es foco de amenazas a las infraestructuras críticas

Es consenso entre los proveedores de soluciones en seguridad y protección de datos, la vinculación de Corea del Norte con diversos grupos cibercriminales que roban información a personas, empresas y gobiernos.

S21sec es otro proveedor de soluciones en seguridad digital que se suma a las voces de alerta que advierten del incremento en las actividades de ciberespionaje degrupos conocidos como Lázarus, Scarcruft y Reaper APT, todos con vínculos con el régimen de Corea del Norte, y cuyas acciones impactan tanto a los países asiáticos como al mundo occidental. Tales señalamientos han sido refutados en reiteradas ocasiones por el gobierno del país asiático.

La metodología de ataque empleada desde este país muestra que las herramientas de acceso remoto (RAT), conforman el soporte de la Amenaza Persistente Avanzada o APT, término que se usa para denominar a aquellos ataques que aprovechan la tecnología RAT para el reconocimiento, eludir la autenticación, propagar la infección y acceder a aplicaciones sensibles para filtrar datos.

Modus operandi criminal

La relación precedente se afianza por los patrones de comportamiento que son comunes con distintos actores relacionados. S21sec ha logrado tipificar a los grupos aliados de Corea del Norte y algunas de sus fórmulas de ataques que enlistamos a continuación.

1. Covellite APT

Presenta un arsenal de infraestructura y malware similar al que emplea el grupo Lazarus. Dirigida primariamente contra los sistemas de control industrial (ICS) de los Estados Unidos, así como en campañas de phishing dirigidas contra organizaciones en Europa, Asia Oriental y América del Norte, en los sectores de la energía. Suele usar adjuntos en correos electrónicos con malware incrustado, empleando herramientas dirigidas a evitar la detección y el análisis.

2. Reaper APT

Se les supone responsables de una elevada variedad de campañas contra Corea del Sur, principalmente contra el sector financiero. Opera en Corea del Sur, Vietnam, Japón y Oriente Medio. Sus objetivos son los sectores químico, militar, electrónico, aeroespacial, sanitario, manufacturero, automotriz y financiero, como se ha dicho.

3. Scarcruft APT

Actor integrante del Grupo 123 detectado en junio de 2016 a raíz del ataque de día 0, que explotaba una vulnerabilidad de Adobe Flash Player, para permitir la ejecución remota de código. Su finalidad es el robo de información, además de haberse visto implicado en algunos ataques de naturaleza destructiva.

4. Group 123 APT

Aun cuando responde con los nombres anteriormente vistos, el tratamiento diferenciado obedece al hecho de que en algunos de los casos se ha visto una actuación aislada en el marco del conjunto de actores que conforman la amenaza de Corea del Norte. Los países en los que ha sido detectada actividad de este grupo, bien por este nombre, o bien por el de cualquiera con los que se asocia (APT37, Cloud Dragon, Reaper, ScarCruft), son India, Rumanía, Kuwait, Estados Unidos, Rusia, Nepal, China y Corea del Sur.

5. Navart8

En cuanto a las funcionalidades de este grupo se encuentra descargar, cargar, ejecutar comandos en el host de la víctima y realizar keylogging. Emplea la plataforma de correo electrónico Naver para comunicarse con los atacantes. Además, se propaga mediante correos electrónicos de spear phishing.

6. Lázarus (Hidden Cobra, Guardians of Peace)

Su operación más conocida es ghostsecret. Sus actividades comenzaron en el 2007 con una operación conocida como Flame, cuyo objetivo principal fue sabotaje gubernamental; son los creadores del ransomware Wannacry, uno de los más mediáticos que se recuerden. Durante 2016 y 2017 se enfocaron en ataques sofisticados a plataformas bancarias, y lograron extraer $81 millones del Banco Central de Bangladesh.

En la actualidad se conoce que han afectado a 31 países entre los cuales se encuentran Polonia, Estados Unidos, Brasil, Chile y México. Se presume que estuvieron involucrados en los recientes ataques al sector financiero en México.

Conclusiones

  • Los ataques que se producirán este año contra las infraestructuras críticas marcarán un antes y un después, debido a que la situación que actualmente se está viviendo evolucionará hacia una mucho peor de la que se pensaba.

  • Lazarus adquiere especial importancia debido a su impacto, dado que en el análisis de la infraestructura empleada por Joanap se ha identificado 87 nodos comprometidos, situándose nuestro país como uno de los países en los que se encuentra una IP infectada.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.