El FBI junto con un par de agencias de seguridad y de gobierno han emitido un Aviso de Ciberseguridad (CSA) conjunto sobre la actividad patrocinada por el estado de Corea del Norte que tiene como objetivo la tecnología blockchain y la industria de las criptomonedas.
Ciberactores norcoreanos
En colaboración con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Tesoro de los Estados Unidos, la Oficina Federal de Investigación ha descubierto que las recientes amenazas cibernéticas asociadas a la industria de la criptomoneda y el blockchain están vinculadas a la amenaza persistente avanzada (APT) patrocinada por el Estado norcoreano.
El reciente CSA destaca que el grupo es comúnmente rastreado por la industria de la ciberseguridad como Lazarus Group, APT38, BlueNoroff y Stardust Chollima.
Los informes anteriores de la CSA cuentan cómo el gobierno norcoreano emplea la actividad cibernética maliciosa para recopilar información, realizar ataques y generar ingresos.
Según la Evaluación Anual de Amenazas 2021 de la Oficina del Director de Inteligencia Nacional de Estados Unidos, «el programa cibernético de Corea del Norte supone una amenaza creciente de espionaje, robo y ataque».
«Corea del Norte ha llevado a cabo ciberrobos contra instituciones financieras y Exchanges de criptomonedas en todo el mundo, robando potencialmente cientos de millones de dólares, probablemente para financiar las prioridades del gobierno, como sus programas nucleares y de misiles.»
El CSA recién publicado afirma que el gobierno de Estados Unidos ha observado a los ciberactores norcoreanos dirigiéndose a una variedad de organizaciones en la industria de la tecnología blockchain y la criptomoneda, incluyendo Exchanges de criptomonedas, protocolos de finanzas descentralizadas (DeFi), videojuegos play-to-earn, compañías de comercio de criptomonedas, fondos de capital de riesgo que invierten en criptomonedas y poseedores individuales de grandes cantidades de criptomonedas o tokens valiosos no fungibles (NFTs).
El comportamiento detallado bajo el aviso publicado se describió como incluyendo la ingeniería social de las víctimas a través de una serie de plataformas de comunicación con el fin de persuadirlos para descargar programas de criptomoneda de carga útil maliciosa para Windows o macOS.
A continuación, los ciberdelincuentes utilizan los programas para obtener acceso al ordenador de la víctima, propagar el malware por la red de la víctima, robar claves privadas y explotar otros fallos de seguridad. Estas actividades permiten otras actividades posteriores que lanzan transacciones fraudulentas en blockchain.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras proporcionó una actualización técnicamente detallada en el aviso sobre cómo los atacantes identificados desde Corea del Norte habían diseñado posiblemente el malware.
» El Grupo Lazarus utilizó aplicaciones de criptomoneda troyanizadas por AppleJeus dirigidas a particulares y empresas -incluyendo Exchanges de criptomonedas y empresas de servicios financieros- mediante la difusión de aplicaciones de comercio de criptomonedas que fueron modificadas para incluir un malware que facilita el robo de criptomonedas.
Desde abril de 2022, los actores del Grupo Lazarus de Corea del Norte han atacado a varias empresas, entidades y Exchange del sector de blockchain y criptomonedas mediante campañas de spearphishing y malware para robar criptomonedas. Es probable que estos actores continúen explotando las vulnerabilidades de las empresas de tecnología de criptomonedas, las empresas de juegos y los Exchange para generar y blanquear fondos para apoyar al régimen norcoreano.»
