Noticias

Nuevos ataques informáticos sobre investigadores de seguridad en Corea del Norte

Publicado

en

La piratería lejos de parecer tener fin y freno continúa ampliando sus recursos y estrategias para atentar contra los sistemas de seguridad. Los eslabones cada vez parecen más debilitados y los hackers encuentran la forma de acceder. En última instancia, los piratas informáticos conectados con el gobierno de Corea del Norte han tomado como objetivo a los investigadores de seguridad, empleando para ello nuevas técnicas y malware.

Desde Mandiant, empresa de ciberseguridad estadounidense y subsidiaria de Google, se ha alertado que detectaron esta nueva forma de actuación en junio del pasado año cuando se encontraban rastreando una campaña de phishing que iba dirigida a un cliente de la industria tecnológica que tenía sede en Estados Unidos.

La investigación realizada por Mandiant

A partir de la alerta creada, se ejecutó una eficiente investigación, de la cual se pudieron detectar tres nuevos malware no vistos hasta ahora: Touchmove, Sideshow y Touchshift. En este sentido, es la propia Mandiant la que afirma que “Mandiant sospecha que UNC2970 apuntó específicamente a los investigadores de seguridad en esta operación”. Después de esto, la empresa de seguridad que fuera fundada por Kevin Mandia, que fuera oficial de la Fuerza Aérea de los Estados Unidos, alertó del mismo modo  sobre múltiples intrusiones en organizaciones de medios estadounidenses y europeas.

De forma tradicional, el UNC2970 ha ido dirigido a organizaciones con correos electrónicos de spearphishing con temas de contratación laboral y posteriormente el grupo pirata ha pasado a utilizar cuentas falsas de la aplicación LinkedIn. No hay nada al azar y lo cierto es que estas cuentas están cuidadosamente creadas y cuidadas hasta el más mínimo detalle con la finalidad de imitar las identidades de personas y así engañar.

LinkedIn, es la red social de trabajo más importante a día de hoy. Es utilizada actualmente por cerca de 830 millones de personas y más de 58 millones de empresas registradas. Las cifras hablan de que el 40% de los usuarios de la aplicación utilizan esta plataforma de forma diaria, lo que provoca que tenga más de 1.000 millones de interacciones al mes. Con LinkedIn los usuarios realizan búsqueda de empleo y comparten sus desarrollos y crecimientos profesionales.

Otro malware empleado por los hackers es Plankwalk, el cual va incrustado en documentos de Microsoft Word. En el momento en el que alguno de estos documentos se abre en los equipos, se autorizan y el virus se descarga y se ejecuta. El proceso de piratería no termina aquí, y es que luego se instalará una amplia gama de herramientas, como Microsoft InTune, empleado para entregar configuraciones a puntos finales inscritos en el servicio de Azure Active Directory de una organización.

El proceso de infección

Desde Mandiant se ha descrito el proceso de infección, informando que el archivo ZIP procedente de UNC2970 contenía un sentido profesional, por lo que la víctima se sintió engañada pensando que se trataba de una prueba de evaluación de sus habilidades para una solicitud de empleo. Sin embargo, el ZIP contenía un archivo ISO con una versión troyonizada de TightVNC, que fue identificado como LIDSHIFT. Esta infección contenía a su vez múltiples funciones ocultas, como que tras su ejecución el  malware enviaba una baliza a su CD codificado.

Las voces de los investigadores de Mandiant han afirmado que “las herramientas de malware identificadas destacan el desarrollo continuo de malware y la implementación de nuevas herramientas por parte de UNC29702” y añade que “aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnología, la orientación de los investigadores de seguridad sugiere un cambio en la estrategia o una expansión de sus operaciones”.

Posibles medidas de protección

Las organizaciones deben empezar a valorar otras formas de protección, incluyendo el bloqueo de macros, el uso de la administración de identidades privilegiadas, las políticas de acceso condicional y las restricciones de seguridad en Azure AD. Del mismo modo, se recomienda solicitar que varios administradores aprueben las transacciones de InTune.

Otros consejos para reducir las posibilidades de infección pasan por la autentificación multifactor, las cuentas solo en la nube para acceder a Azure Active Direcetory, tener una cuenta separada para enviar correos electrónicos y navegar por la web, y una cuenta de administrador dedicada a funciones administrativas confidenciales.

Lo más leído

Salir de la versión móvil