Estados Unidos libera acusaciones contra Corea del Norte …



El FBI, CISA y el Departamento del Tesoro también publican detalles sobre el malware norcoreano utilizado en el robo de criptomonedas desde 2018.

El gobierno de EE. UU. Reveló hoy acusaciones contra tres miembros de la agencia de inteligencia militar de Corea del Norte, la Oficina Basic de Reconocimiento (RGB), por su presunto papel en numerosos ciberataques en los últimos años que resultaron en el robo de más de $ 1.3 mil millones de organizaciones en todo el mundo.

Simultáneamente, el FBI, el Departamento del Tesoro y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional también publicaron detalles de malware e indicadores de compromiso (IoC) asociados con una campaña respaldada por Corea del Norte llamada «AppleJeus», que ha sido dirigidas a organizaciones que realizan transacciones en criptomonedas desde 2018. En un alerta, las tres organizaciones publicaron detalles sobre siete variantes de AppleJeus que se han lanzado desde que se descubrió el malware por primera vez.

Las acciones representan los continuos esfuerzos del gobierno de EE. UU. Para rastrear y disuadir lo que muchos perciben como intentos del gobierno norcoreano paralizado por las sanciones de, entre otras cosas, financiar sus iniciativas nucleares y de misiles balísticos a través de ciberataques. A principios de este mes, por ejemplo, un panel de expertos que monitorea las actividades de Corea del Norte, presentó un informe al Consejo de Seguridad de la ONU que advierte sobre los ciberactores del país que atacan a las empresas financieras y los intercambios de criptomonedas para generar dinero para la modernización de su programa nuclear.

«Seguimos arrojando luz sobre la campaña mundial de criminalidad que está llevando a cabo la RPDC», dijo el fiscal common adjunto John Demers en un declaración preparada. «Las acusaciones de Estados-nación como esta son un paso importante para identificar el problema, denunciarlo en un formato legalmente riguroso y construir un consenso internacional».

Una de las personas identificadas en las acusaciones que se revelaron hoy, Park Jin Hyok, de 36 años, también fue cargado previamente en 2018 por su presunta participación en numerosos ciberataques. Incluyen el ataque de 2014 a Sony, los ataques de ransomware WannaCry de 2017 y el robo de 81 millones de dólares del Banco de Bangladesh en 2016.

La acusación formal de hoy amplía esos cargos e identifica a otras dos personas, Jon Chang Hyok, de 31 años, y Kim Il, de 27 años, de RGB, que supuestamente trabajaron con Park en estas y muchas otras campañas. A declaración anunciar los cargos asociaba a las tres personas con una amplia gama de actividades cibernéticas delictivas, incluidos ataques a la industria del entretenimiento e intentos de robar más de $ 1.2 mil millones a través de ataques a bancos en Vietnam, Bangladesh, Taiwán y otros países. Otras supuestas actividades, que abarcan varios años, incluyen los llamados ataques de retiro de efectivo en cajeros automáticos, ataques de ransomware, la creación y distribución de aplicaciones de criptomonedas maliciosas y el robo de criptomonedas.

Las tres personas fueron identificadas como miembros de una unidad RGB que la industria de la ciberseguridad ha estado rastreando durante mucho tiempo como Lazarus Group, APT38, Stardust Chollima y otros nombres.

También se revelaron hoy los detalles de un caso penal separado contra un ciudadano canadiense estadounidense que acordó declararse culpable de un esquema masivo de lavado de dinero en nombre de los actores de amenazas cibernéticas con sede en Corea del Norte. El Departamento de Justicia (DoJ) describió a Ghaleb Alaumary, de 37 años, de Canadá, como lavado de dinero que los actores de amenazas norcoreanos obtuvieron ilegalmente a través de esquemas de retiro de efectivo en cajeros automáticos, atracos bancarios, campañas de compromiso de correo electrónico comercial y otros ataques.

«Lo que la gente puede encontrar sorprendente acerca de los detalles de las acusaciones es que la motivación principal es financiera y el alcance de las actividades fue de gran alcance, abarcando numerosos métodos, incluido el ransomware y el robo directo», dice Rusty Carter, director de productos de LogRhythm. . «Esto no solo tenía como objetivo el gobierno o las grandes entidades financieras, sino también a las personas, a través de aplicaciones maliciosas para el consumidor last».

¿Un vínculo entre China y Rusia?
Según el Departamento de Justicia, al menos algunas de las actividades maliciosas en las que se acusa a los tres individuos de participar ocurrieron mientras estaban estacionados como operativos RGB en China, Rusia y otros países. La declaración del Departamento de Justicia no ofrece ninguna indicación de si EE. UU. Cree que grupos de amenazas de cualquiera de los países colaboraron con los operativos norcoreanos en estos ataques.

Sin embargo, los proveedores de seguridad y las empresas de inteligencia de amenazas que han estado rastreando las actividades de amenazas de Corea del Norte han notado anteriormente tal conexión. En septiembre pasado, por ejemplo, la firma de inteligencia de amenazas Intel 471 examinó datos de múltiples fuentes públicas y abiertas y concluyó que los actores de amenazas de Corea del Norte probablemente estaban activos en mercados clandestinos y mantenían relaciones con los principales grupos cibernéticos delictivos de habla rusa, como TA505. La empresa descubrió que el malware escrito y destinado a ser utilizado por actores norcoreanos probablemente se distribuía a través de una infraestructura de pink perteneciente a ciberdelincuentes rusos.

«La clandestinidad de los ciberdelincuentes proporciona a los norcoreanos varias herramientas, accesos al sistema comprometidos y conjuntos de datos para cometer delitos cibernéticos», dice Mark Arena, director ejecutivo de Intel 471.

En casos específicos mencionados en el informe del año pasado, los ciberdelincuentes de habla rusa proporcionaron a los actores de amenazas de Corea del Norte acceso a instituciones financieras, dice Arena.

«Realizar actividades de seguimiento de intrusiones dentro de las instituciones financieras es una tarea compleja que los actores de amenazas de Corea del Norte han estado realizando con éxito durante varios años», dice.

Esa es la razón por la que los ciberdelincuentes de habla rusa aprovechan a los actores de amenazas norcoreanos para llevar a cabo esta actividad, agrega Arena.

«Es possible que las ganancias delictivas de esta actividad se compartan entre los ciberdelincuentes de habla rusa y los actores de amenazas norcoreanos que realizan esta actividad», dice.

Otros, incluidos Seguridad NTT y SentineOne, han señalado una posible colaboración entre el Grupo Lazarus y los actores de amenazas con sede en Rusia después de ver que los primeros utilizan un conjunto de herramientas de ataque desarrollado por los segundos para ingresar a redes específicas.

Mientras tanto, los detalles publicados hoy por el FBI, CISA y el Departamento del Tesoro sobre AppleJeus pertenecen a una campaña de Corea del Norte para robar criptomonedas de intercambios e instituciones financieras.

Como parte de la campaña, se cree que Lazarus Group desarrolló y distribuyó aplicaciones de comercio de criptomonedas aparentemente legítimas que contenían malware para robar criptomonedas. El malware está diseñado para atacar las plataformas Windows y Mac y, por lo typical, se colocó en un sitio que parecía pertenecer a una empresa legítima de comercio de criptomonedas, dijeron el FBI y los demás.

Además, los actores de amenazas también distribuyeron el malware a través de phishing y otros trucos de ingeniería social. Las organizaciones de múltiples industrias han sido el objetivo de la campaña, incluidas las de gobierno, finanzas, energía, tecnología y telecomunicaciones. Las víctimas han incluido organizaciones en los Estados Unidos y más de dos docenas de otros países, como Canadá, China, Alemania, India, Italia y Japón.

Los detalles técnicos publicados hoy sobre AppleJeus cubren versiones del malware desde el primero, oculto en una aplicación de criptomoneda troyanizada llamada Celas Trade Pro, hasta la versión 7 del malware llamado «Ants2Whale», que se lanzó en septiembre de 2020.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique