Google hace poco detalló su labor para frustrar el trabajo de piratas informáticos. Se trataba de dos grupos de piratería de Corea del Norte que utilizaron un error de día cero de Chrome para cometer sus actos delictivos.
Google señala que ellos arreglaron el error en febrero, pero estaba siendo explotado desde un mes antes. En ese momento, la empresa dijo que conocía los informes de que los piratas informáticos estaban explotando el error CVE-2022-0609 de Chrome.La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ordenó a las agencias federales que parchearan el error de Chrome en febrero . El Threat Analyst Group (TAG) de Google dijo que el kit de explotación se implementó activamente desde el 4 de enero de 2022.
De acuerdo con Google, los grupos de piratas informáticos de Corea del Norte que estaban utilizando el exploit están vinculados a Lazarus, un grupo de hackers de Corea del Norte. El cual ha sido acusado del pirateo de Sony Pictures y del robo masivo a través de un ataque al sistema de mensajería bancaria internacional SWIFT.
Según Google, así procedió el grupo de piratas informáticos
Las investigaciones de Google indican que el grupo se ha dirigido a organizaciones estadounidenses en los sectores de medios de comunicación, tecnología, criptomonedas y fintech. De hecho, también señala que las organizaciones en otros países también pudieron haber sido atacadas.
Google comenta que uno de los grupos se dirigió a 250 personas de 10 organizaciones en medios de comunicación, registradores de dominios, proveedores de alojamiento web y proveedores de software. Les escribían a estos con ofertas de trabajo falsas por medio de correos electrónicos que se hacían pasar por reclutadores de Disney, Google y Oracle. Los correos electrónicos contenían enlaces a versiones falsificadas de Indeed y ZipRecruiter.
La empresa de análisis de blockchain Chainalysis cree que los piratas informáticos norcoreanos robaron casi $400 millones en criptomonedas en 2021 . Y, en 2018, un panel de expertos de las Naciones Unidas concluyó que sus hackeos de criptomonedas ayudaron a los programas de misiles balísticos de Corea del Norte.
Google añade que el segundo grupo atacó a más de 85 usuarios en las industrias de criptomonedas y fintech utilizando el mismo kit de explotación.
Una vez que fueron descubiertos, todos los sitios web y dominios identificados se agregaron al servicio de Navegación segura de Google para proteger a los usuarios de una mayor explotación. Google también envió a todos los usuarios de Gmail y Workspace alertas de atacantes respaldadas por el gobierno donde les notificaba de la situación
¿Qué señala Mandiant sobre todo esto?
Mandiant, compañía que Google está comprando por $5.4 mil millones, publicó un nuevo informe esta semana sobre la piratería de Corea del Norte. Ellos dicen que Corea del Norte está emulando la estrategia de China de acorralar a los grupos de piratas informáticos para que trabajen dentro del gobierno.
Mandiant identifica a los grupos de piratería vinculados a Lazarus del siguiente modo: Lab 110, TEMP.Hermit, APT38, Andariel y Bureau 325. Estos grupos operan bajo la agencia de inteligencia exterior de Corea del Norte, la Oficina General de Reconocimiento. La cual tiene siete suborganizaciones que manejan operaciones, reconocimiento, inteligencia exterior, relaciones con Corea del Sur, tecnología y apoyo.
Cada uno de estos grupos está especializado para apuntar a diferentes industrias. Además de recopilar inteligencia de organizaciones sobre eventos geopolíticos o aumentar los ingresos a través del robo de criptomonedas.
De acuerdo con Mandiant:
“Se cree que las operaciones de espionaje del país reflejan las preocupaciones y prioridades inmediatas del régimen. Que probablemente se centre actualmente en adquirir recursos financieros a través de criptoatracos. Apuntando a medios, noticias y entidades políticas. Además información sobre relaciones exteriores e información nuclear. Y una leve disminución en el robo que alguna vez aumentó de la investigación de la vacuna COVID-19. La información recopilada en estas campañas posiblemente se utilizará para desarrollar o producir elementos y estrategias internas, como vacunas, mitigaciones para eludir sanciones, financiamiento para los programas de armas del país y pronto.”
Mandiant
Esperamos que estos grupos logren contenerse, pero parece que no será así, sino que los ataques se incrementarán.