Los norcoreanos en el ojo de la tormenta

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Los investigadores de seguridad finalmente, con “alta confianza”, vincularon una campaña mundial de espionaje cibernético descubierta anteriormente dirigida a la infraestructura crítica de todo el mundo con un grupo de piratería de APT de Corea del Norte.

Gracias a la nueva evidencia recopilada por los investigadores después de analizar un servidor de comando y control (C2) involucrado en la campaña de espionaje y confiscado por la policía.

Apodada Operación Sharpshooter , la campaña de espionaje cibernético dirigida a organizaciones gubernamentales, de defensa, nucleares, energéticas y financieras de todo el mundo fue descubierta inicialmente en diciembre de 2018 por investigadores de seguridad.

En ese momento, incluso después de encontrar numerosos enlaces técnicos al grupo de piratería Lazarus de Corea del Norte, los investigadores no pudieron atribuir inmediatamente la campaña debido a un potencial de falsas banderas.

Investigadores analizaron el servidor de comandos de Sharpshooter

Un un análisis reciente del código incautado y el servidor de comando y control (C2) permitió a los investigadores comprender el funcionamiento interno de la campaña mundial de espionaje cibernético, concluyendo que el estado norcoreano El grupo de piratería patrocinado está detrás de la Operación Sharpshooter.

Se cree que el Grupo Lazarus, también conocido como Hidden Cobra y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y, según se informa, se asoció con el ataque global de ransomware WannaCry de 2017 , el truco de SWIFT Banking de 2016 y el truco de Sony Pictures de 2014.

El análisis también reveló que la campaña de espionaje global comenzó en septiembre de 2017, un año antes de lo que se pensaba anteriormente y aún está en curso.

Si bien los ataques anteriores se dirigieron principalmente a los sectores de telecomunicaciones, gobierno y finanzas en los Estados Unidos, Suiza e Israel, y otros países de habla inglesa, las pruebas recién descubiertas sugieren que Sharpshooter ha ampliado su enfoque a la infraestructura crítica, con los ataques más recientes dirigidos a Alemania, Turquía, el Reino Unido y los Estados Unidos.

Operación Sharpshooter: Campaña Global de Espionaje Cibernético

La campaña de espionaje global se propaga al enviar documentos maliciosos que contienen una macro armada a los objetivos a través de Dropbox.

Una vez abierto y descargado, la macro aprovecha el código de shell incorporado para inyectar el descargador Sharpshooter en la memoria de Microsoft Word.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris