En una reciente advertencia conjunta, el Reino Unido, Estados Unidos y Corea del Sur han alertado sobre los intentos de hackers norcoreanos de robar secretos nucleares y militares de gobiernos y empresas privadas en todo el mundo. Estos ciberataques, llevados a cabo por un grupo conocido como Andariel o Onyx Sleet, tienen como objetivo entidades de defensa, aeroespacial, nuclear e ingeniería para obtener información clasificada y avanzar en los programas militares y nucleares de Pyongyang.
Objetivos y alcance de los ataques
El grupo ha buscado información en una amplia gama de áreas, desde el procesamiento de uranio hasta tanques, submarinos y torpedos. Los objetivos incluyen bases aéreas de EE.UU., la NASA y empresas de defensa, así como países como el Reino Unido, Japón, India y Corea del Sur. Según las autoridades surcoreanas, los hackers también han atacado a fabricantes de equipos de chips en Corea del Sur.
La actividad de espionaje de Andariel es vista con gran preocupación debido a su impacto tanto en tecnología sensible como en la vida cotidiana. El grupo financia sus actividades de espionaje a través de operaciones de ransomware contra entidades de atención médica en EE.UU.
Reacciones y advertencias de las autoridades
Paul Chichester, director de operaciones del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), una rama de GCHQ, comentó: «La operación global de espionaje cibernético que hemos expuesto hoy muestra hasta dónde están dispuestos a llegar los actores patrocinados por el estado de la DPRK para perseguir sus programas militares y nucleares. Esto debería recordar a los operadores de infraestructuras críticas la importancia de proteger la información sensible y la propiedad intelectual que poseen en sus sistemas para evitar robos y usos indebidos.»
El NCSC evalúa que Andariel forma parte del 3er Buró de la Oficina General de Reconocimiento de Corea del Norte. La advertencia conjunta emitida por EE.UU., el Reino Unido y Corea del Sur comparte consejos para ayudar a defenderse contra los actores norcoreanos, quienes también han buscado información sobre maquinaria robótica, brazos mecánicos y componentes de impresión 3D.
Michael Barnhart, Analista Principal de Mandiant en Google Cloud, afirmó: «Esta acusación muestra que los grupos de amenazas norcoreanos también representan una seria amenaza para la vida cotidiana de los ciudadanos y no pueden ser ignorados o desestimados. Su ataque a hospitales para generar ingresos y financiar sus operaciones demuestra un enfoque implacable en cumplir su misión prioritaria de recopilación de inteligencia, sin importar las posibles consecuencias para la vida humana.»
Historial de ciberataques norcoreanos
Esta advertencia es solo la última de una serie de avisos sobre hackers norcoreanos a lo largo de los años. Algunos de los incidentes cibernéticos más destacados se han vinculado al país, incluyendo un ataque a Sony Pictures en 2014 en represalia por una comedia de Hollywood que retrataba el asesinato del líder norcoreano Kim Jong Un. Corea del Norte también es conocida por las actividades del Grupo Lazarus, que ha llevado a cabo importantes robos de millones de dólares.
En un reciente consejo conjunto emitido el 25 de julio, las autoridades estadounidenses, británicas y surcoreanas destacaron que los hackers, apodados Anadriel o APT45 por investigadores de ciberseguridad, forman parte de la agencia de inteligencia de Corea del Norte conocida como la Oficina General de Reconocimiento, una entidad sancionada por EE.UU. en 2015.
El grupo ha atacado o vulnerado sistemas informáticos en una variedad de empresas de defensa e ingeniería, incluidos fabricantes de tanques, submarinos, buques navales, aviones de combate y sistemas de misiles y radar. En EE.UU., también se han dirigido a la NASA y bases de la Fuerza Aérea como Randolph en Texas y Robins en Georgia.
Técnicas y métodos de los ataques
En febrero de 2022, los hackers utilizaron un script de malware para obtener acceso no autorizado al sistema informático de la NASA durante tres meses, extrayendo más de 17 gigabytes de datos no clasificados. Las agencias autoras creen que el grupo y sus técnicas cibernéticas siguen siendo una amenaza continua para varios sectores industriales en todo el mundo, incluyendo Japón e India.
Para financiar sus operaciones, los hackers han utilizado ransomware contra hospitales y empresas de atención médica en EE.UU. Un incidente de ransomware en mayo de 2021 involucró a un hospital en Kansas que pagó un rescate después de que los hackers encriptaran cuatro de sus servidores informáticos. El pago se realizó en bitcoin, que fue transferido a un banco chino y luego retirado de un cajero automático en Dandong, China, cerca del Puente de la Amistad Sino-Coreana que conecta la ciudad con Sinuiju, Corea del Norte.
El FBI ha ofrecido una recompensa de hasta 10 millones de dólares por información que conduzca al arresto de Rim Jong Hyok, un sospechoso acusado de conspirar para acceder a redes informáticas en EE.UU. y lavar dinero. Rim se cree que está en Corea del Norte.
Las autoridades han incautado algunas de las cuentas en línea pertenecientes a los hackers, incluyendo 600,000 dólares en moneda virtual que serán devueltos a las víctimas de los ataques de ransomware.
Consecuencias y recomendaciones
La exposición de la operación global de espionaje cibernético de hoy muestra las medidas extremas que los actores patrocinados por el estado de la DPRK están dispuestos a tomar para perseguir sus programas militares y nucleares. Esto debe servir como un recordatorio para los operadores de infraestructuras críticas sobre la importancia de proteger la información sensible y la propiedad intelectual en sus sistemas para evitar robos y usos indebidos.
Las autoridades británicas, estadounidenses y surcoreanas, junto con otras organizaciones internacionales, instan a las organizaciones de infraestructura crítica a aplicar parches para vulnerabilidades en un tiempo oportuno, proteger servidores web de shells web, monitorear puntos finales para actividades maliciosas y fortalecer las protecciones de autenticación y acceso remoto para mejorar las defensas contra los hackers.
En resumen, los ciberataques norcoreanos representan una amenaza significativa y continua para la seguridad global, tanto en términos de espionaje como de impactos en la vida cotidiana de los ciudadanos. Es crucial que las organizaciones tomen medidas proactivas para proteger sus sistemas y datos sensibles contra estas amenazas persistentes.
