Corea del norte, una amenaza a las infraestructuras críticas

 

S21sec lanzó una alerta para advertir del incremento de actividades de ciberespionaje; en especial en grupos conocidos como Lázarus, Scarcruft y Reaper APT, los cuales han mostrado vínculos con el régimen de Corea del Norte, cuya acciones se reparten entre países de la región y del mundo occidental.

 

La metodología de ataque empleada por este país muestra que las herramientas de acceso remoto (RAT), conforman el soporte de la Amenaza Persistente Avanzada o APT, término que se usa para denominar a aquellos ataques que aprovechan la tecnología RAT para el reconocimiento, eludir la autenticación, propagar la infección y acceder a aplicaciones sensibles para filtrar datos.

 

La relación precedente se afianza por los patrones de comportamiento que son comunes con distintos actores relacionados, los cuales se enlistan a continuación.

 

1) Covellite APT

Presenta un arsenal de infraestructura y malware similar al que emplea el grupo Lazarus. Dirigida primariamente contra los sistemas de control industrial (ICS) de los Estados Unidos, así como en campañas de phishing dirigidas contra organizaciones en Europa, Asia Oriental y América del Norte, en los sectores de la energía. Suele usar adjuntos en correos electrónicos con malware incrustado, empleando herramientas dirigidas a evitar la detección y el análisis.

 

2) Reaper APT

Se les supone responsables  de una elevada variedad de campañas contra Corea del Sur, principalmente contra el sector financiero. Opera en Corea del Sur, Vietnam, Japón y Oriente Medio. Sus objetivos son los sectores químico, militar, electrónico, aeroespacial, sanitario, manufacturero, automotriz y financiero, como se ha dicho.

 

3) Scarcruft APT

Actor integrante del Grupo 123 detectado en junio de 2016 a raíz del ataque de día 0, que explotaba una vulnerabilidad de Adobe Flash Player, para permitir la ejecución remota de código. Su finalidad es el robo de información, además de haberse visto implicado en algunos ataques de naturaleza destructiva.

 

4) Group 123 APT

Aun cuando responde con los nombres anteriormente vistos, el tratamiento diferenciado obedece al hecho de que en algunos de los casos se ha visto una actuación aislada en el marco del conjunto de actores que conforman la amenaza de Corea del Norte. Los países en los que ha sido detectada actividad de este grupo, bien por este nombre, o bien por el de cualquiera con los que se asocia (APT37, Cloud Dragon, Reaper, ScarCruft), son India, Rumanía, Kuwait, Estados Unidos, Rusia, Nepal, China y Corea del Sur.

 

5) Navart8

En cuanto a las funcionalidades de este grupo se encuentra descargar, cargar, ejecutar comandos en el host de la víctima y realizar keylogging. Emplea la plataforma de correo electrónico Naver para comunicarse con los atacantes. Además, se propaga mediante correos electrónicos de spear phishing.

 

6) LÁZARUS (HIDDEN COBRA, GUARDIANS OF PEACE)

Su operación más conocida es GhostSecret. Sus actividades comenzaron en el 2007 con una operación conocida como Flame, cuyo objetivo principal fue sabotaje gubernamental; son los creadores del ransomware Wannacry, uno de los más mediáticos que se recuerden. Durante 2016 y 2017 se enfocaron en ataques sofisticados a plataformas bancarias, y lograron extraer $81 millones del Banco Central de Bangladesh.

 

Hasta el dia de hoy se conoce que han afectado a 31 países entre los cuales se encuentran Polonia, Estados Unidos, Brasil, Chile y México. Se presume que estuvieron involucrados en los recientes ataques al sector financiero en México.

 

Conclusiones

  • Los ataques que se producirán este año contra las infraestructuras críticas marcarán un antes y un después, debido a que la situación que actualmente se está viviendo evolucionará hacia una mucho peor de la que se pensaba.
  • Lazarus adquiere especial importancia debido a su impacto sobre España, dado que en el análisis de la infraestructura empleada por Joanap se ha identificado 87 nodos comprometidos, situándose nuestro país como uno de los países en los que se encuentra una IP infectada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *