Los hackers norcoreanos encuentran otro nuevo objetivo: la industria de defensa


El grupo Lazarus tuvo un 2020 ajetreado, y el 2021 se perfila como otro año devastadoramente productivo para uno de los grupos de piratería informática más peligrosos del planeta.

cyberwar-cybercrime-header.jpg

Imagen: BeeBright, Getty Visuals / iStockphoto

Los investigadores de seguridad de Kaspersky han encontrado evidencia de que el colectivo de piratería de Corea del Norte conocido como Lázaro ha agregado otro objetivo a su lista de víctimas: La industria de la defensa y empresas de más de una docena de países ya se han visto afectadas.

Como informó anteriormente TechRepublic, Lazarus comenzó en 2021 dirigiéndose a los investigadores de seguridad con ofertas de colaboración en la investigación de malware, solo para infectar a las víctimas con malware que podría causar el robo de datos confidenciales relacionados con la seguridad. La estratega de seguridad de Point3, Chloé Messdaghi, dijo que atacar a los investigadores de seguridad parecía ser un intento de afianzarse con personas que tienen conexiones con el gobierno, pero se desconoce la razón por la que Lazarus los atacaba.

Este último ataque dirigido a empresas de la industria de defensa es solo el último pivote de Lazarus, que ha estado activo y peligroso desde al menos 2009, dijo Kaspersky. Además de dirigirse a los analistas de seguridad, Lazarus también se ha vinculado a campañas de ransomware, ciberespionaje y ataques contra el mercado de las criptomonedas.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Kaspersky dijo que se enteró de este ataque durante una respuesta a un incidente que llevó al descubrimiento de una puerta trasera que los investigadores llamaron ThreatNeedle. La puerta trasera se mueve lateralmente a través de redes infectadas con el objetivo de extraer información confidencial y enviarla a los atacantes.

ThreatNeedle se envía a los objetivos a través de campañas de spearphishing que incluyen documentos de Word infectados y están escritos para que suenen urgentes, citando con frecuencia actualizaciones de COVID-19 de los centros médicos. Una vez que se abre el documento, se instala ThreatNeedle, lo que permite al atacante manipular la máquina infectada y ejecutar comandos remotos.

Kaspersky dijo que Lazarus es la fuente porque ThreatNeedle pertenece a la familia de malware Manuscrypt, que a su vez pertenece a Lazarus y se utilizó en ataques anteriores del grupo norcoreano. Curiosamente, dijo el investigador de seguridad senior de Kaspersky Seongsu Park, ThreatNeedle united states of america la misma puerta trasera que se apuntó a los investigadores de seguridad a principios de 2021. «Esperamos ver más de ThreatNeedle en el futuro y estaremos atentos», dijo Park.

ThreatNeedle puede sonar inicialmente como el malware medio de puerta trasera que se mueve lateralmente, pero es todo menos eso: se ha descubierto que esta variedad en particular es capaz de saltar entre las redes de oficinas orientadas a Net y las redes de tecnología operativa (OT) de acceso restringido donde vive el components de misión crítica.

Según las políticas de las empresas víctimas, dijo Kaspersky, no se debería poder transferir información entre las dos redes, aunque los administradores tenían la capacidad de conectarse a ambas para fines de mantenimiento. «Lazarus pudo obtener el regulate de las estaciones de trabajo del administrador y luego configurar una puerta de enlace maliciosa para atacar la red restringida y robar y extraer datos confidenciales de allí», dijo Kaspersky.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

«No solo fueron capaces de superar la segmentación de la pink, sino que hicieron una investigación exhaustiva para crear correos electrónicos de spearphishing altamente personalizados y efectivos y crearon herramientas personalizadas para extraer la información robada a un servidor remoto. Con industrias que aún se ocupan del trabajo remoto y, por lo tanto, todavía más vulnerables, es importante que las organizaciones tomen precauciones de seguridad adicionales para protegerse contra este tipo de ataques avanzados «, dijo el experto en seguridad de Kaspersky, Vyacheslav Kopeytsev.

Las precauciones que deben tomar las organizaciones, sugiere Kaspersky, incluyen:

  • Proporcionar al personal formación sobre higiene en ciberseguridad y concienciarlos sobre las políticas de seguridad interna.
  • Segmentar completamente las redes OT de las redes de TI,
  • Proporcionar a los equipos de seguridad inteligencia de amenazas actualizada,
  • Implemente seguridad de red de OT dedicada, incluida la supervisión, el análisis y la detección de amenazas del tráfico.

Ver también



Enlace a la noticia initial