Dentro de la rápida evolución de Corea del Norte a ciber …



Los investigadores examinan la rápida evolución de Corea del Norte de campañas destructivas a operaciones cibernéticas complejas y eficientes.

Corea del Norte tardó solo unos años en hacer avanzar sus capacidades cibernéticas de campañas únicamente destructivas a operaciones técnicas sofisticadas. Este cambio pone a Corea del Norte en competencia con los principales grupos estatales y revela cambios estratégicos en la forma en que planea apoyar a su régimen.

«(Decir) que estoy intrigado es quedarse corto por lo que han hecho a lo largo de los años», dice Josh Burgess, líder técnico y asesor de inteligencia de amenazas de CrowdStrike. «Los he estado observando al menos de seis a siete años, personalmente, a medida que avanzan en sus campañas de malware: cómo han crecido, cómo han evolucionado, cómo han hecho lo que han hecho».

Su motivación financiera distingue a Corea del Norte de otros grupos de estados-nación, especialmente los «Cuatro Grandes»: Rusia, China, Irán y Corea del Norte, señala Burgess.

La mayoría de los otros actores del estado-nación están motivados por objetivos de seguridad nacional u objetivos económicos nacionales, y su actividad se centra principalmente en el bienestar general de la nación, agrega Jason Rivera, director del grupo asesor estratégico worldwide de CrowdStrike, sobre las diferencias.

«Lo que parece estar haciendo Corea del Norte es realmente en torno al bienestar del régimen, participando en operaciones con motivación financiera para que el régimen continúe con ciertas actividades ilícitas», dice.

Pero la ganancia financiera no es su único component diferenciador, señala Burgess. Si bien sus ataques se han vuelto más sofisticados, Corea del Norte tiene un historial de incorporar la destrucción en la actividad cibernética de los ataques que se remontan a 2007. Esto no se ve a menudo en otros estados-nación o grupos de ataque.

«Todo tiene un lado destructivo», explica. «Hay muchas razones para eso. Una de las razones es el sabotaje: destrozar cosas para destrozar cosas. Y otra parte es complicar el análisis forense, lo que dificulta la recuperación. El otro lado es la atribución errónea, la thought de que es más difícil de atributo de donde viene el ataque si todo está roto «.

Un Estado-nación más intencional
Corea del Norte comenzó a alejarse de los ciberataques puramente dañinos después de su ataque de 2014 a Sony y pasó a un «enfoque dual» que prioriza tanto el mantenimiento del control del régimen true como los ataques para impulsar su economía. Sus técnicas de ataque cambiaron junto con su motivación, que ha cambiado debido a las sanciones y presiones económicas.

«Mucho de eso se debió a las sanciones y mucha presión económica que Estados Unidos comenzó a ejercer sobre Corea del Norte … y cuantas más sanciones les impongas, más difícil les resultará participar en operaciones comerciales legítimas, lo que está, por supuesto, diseñado para forzarlos a tener un mejor comportamiento internacional «, explica Rivera.

En respuesta, Corea del Norte redobló sus esfuerzos en materia de delitos informáticos. En 2015 y 2016, comenzó a apuntar a instituciones financieras como Bangladesh Bank y el sistema de mensajería interbancaria internacional SWIFT para obtener ganancias financieras. Este verano, las fuerzas del orden y las agencias gubernamentales de EE. UU. Advirtieron sobre una campaña del gobierno de Corea del Norte que roba millones en un amplio esquema de retiro de efectivo en cajeros automáticos.

Estos ataques destacan la intencionalidad de Corea del Norte al apuntar, otro rasgo que los investigadores dicen que diferencia a sus atacantes. Cada ataque está destinado a lograr un objetivo específico. Por ejemplo, los ataques dirigidos a instituciones financieras están menos limitados por la geografía sin embargo, aquellos destinados a objetivos de seguridad nacional pueden apuntar a los EE.UU., Corea del Sur u otros adversarios regionales.

Las capacidades cibernéticas de Corea del Norte se aceleraron rápidamente en comparación con otros atacantes estatales. «El período de aceleración fue bastante corto. Indica mucho enfoque de su parte», dice Rivera.

Para ilustrar esto, los investigadores señalan el «tiempo de ruptura», o la cantidad de tiempo que le toma a un atacante moverse lateralmente una vez dentro de la purple. Los datos muestran que Corea del Norte tardó dos horas y 20 minutos en lograr la ruptura, solo superada por Rusia, que tardó aproximadamente 19 minutos. En comparación, a China le tomó un promedio de cuatro horas, e Irán cinco, para lograr el mismo objetivo.

«Yo diría que realmente la evolución y la complejidad de sus ataques evolucionaron junto con el motivo de sus ataques», dice Burgess, «lo que nos lleva a donde estamos hoy, este enfoque de doble vertiente, no solo el elemento financiero , pero también espionaje económico, también espionaje de seguridad nacional «.

Para participar en este tipo de espionaje, no es sólo un «arrebatar y agarrar», continúa. Los atacantes deben mantener la persistencia y regresar durante un período de tiempo, lo que requiere sofisticación.

Mirando hacia el futuro: ¿Qué sigue para Corea del Norte?
Burgess y Rivera, quienes presentarán su investigación en un próxima sesión informativa de Black Hat Europe el 9 de diciembre, digamos que Corea del Norte aprovechará su experiencia en «ciberespacio», un término utilizado en la estrategia de disuasión: ¿Cómo logras que tu oponente haga algo sin atacarlo? ¿Cómo se lleva algo al límite, a «la línea misma de la guerra full»? como dice Burgess.

«Creo que, en muchos sentidos, uno de los principales objetivos de Corea del Norte es influir en el comportamiento de Estados Unidos y el resto de la comunidad internacional», dice Rivera sobre su actividad futura.

Los investigadores también anticipan que Corea del Norte continuará enfocándose en sus objetivos económicos y participará en el espionaje para apoyar esos planes. Especulan que sus atacantes pueden participar en operaciones de ransomware más avanzadas. Si bien aún no hay evidencia para confirmar esto, se alinearía con los objetivos que Corea del Norte ha intentado lograr en el pasado.

Kelly Sheridan es la editora de private de Dim Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic