Alerta de Ciberseguridad: Ataques Norcoreanos y Vulnerabilidad en VPN
El Centro Nacional de Ciberseguridad de Corea del Sur (NCSC) ha emitido una alerta. Esta alerta es sobre una serie de ataques cibernéticos llevados a cabo por hackers norcoreanos. Estos ataques se han aprovechado de una vulnerabilidad en el proceso de actualización de un software de VPN. Esto fue hecho para instalar malware y acceder a redes sensibles. Se cree que el objetivo principal de estos ataques es el robo de secretos comerciales de Corea del Sur. Este robo está en línea con un proyecto nacional de modernización de fábricas industriales. Este proyecto fue anunciado por el líder norcoreano Kim Jong-un en 2023.
Los Grupos de Amenaza Involucrados
Los dos grupos de hackers identificados en estos ataques son Kimsuky (APT43) y Andariel (APT45). Ambos son conocidos por estar respaldados por el Estado norcoreano. También están vinculados al infame Grupo Lazarus. El NCSC ha señalado que es inusual que ambos grupos se dirijan simultáneamente al mismo sector. Tienen objetivos políticos específicos, lo que subraya la gravedad de la amenaza.
Modus Operandi de los Ataques
Caso 1: Actualizaciones Troyanizadas
En el primer caso, ocurrió en enero de 2024. El grupo Kimsuky comprometió el sitio web de una organización surcoreana de comercio de la construcción. Lo hicieron para distribuir malware a los visitantes. Cuando los empleados intentaban iniciar sesión en el sitio web, se les solicitaba instalar un supuesto software de seguridad. Este software se llamaba ‘NX_PRNMAN’. También se les pedía instalar ‘TrustPKI’. Estos instaladores, en realidad troyanizados, estaban firmados digitalmente con un certificado válido de una empresa de defensa coreana. Esto les dejaba evitar los controles antivirus.
Una vez instalado, el malware realizaba capturas de pantalla, robaba datos almacenados en los navegadores (credenciales, cookies, historial, etc.) y sustraía certificados GPKI, claves SSH, Sticky Notes y datos de FileZilla. Esta campaña afectó a empresas de construcción, instituciones públicas y gobiernos locales de Corea del Sur.
Caso 2: Explotación de Vulnerabilidad en VPN
El segundo caso, ocurrido en abril de 2024, involucró al grupo Andariel. Estos hackers explotaron una vulnerabilidad en el protocolo de comunicación de un software de VPN doméstico. La vulnerabilidad fue utilizada para enviar falsas actualizaciones de software. Estas actualizaciones instalaban el malware DoraRAT. La vulnerabilidad les permitía a los atacantes enviar paquetes falsos a los ordenadores de los usuarios. Estos paquetes se hacían pasar por actualizaciones legítimas del servidor.
DoraRAT es un troyano de acceso remoto (RAT) ligero y sigiloso. La variante utilizada en este ataque estaba configurada para robar archivos de gran tamaño. Esto incluye documentos de diseño de maquinaria y equipos. Luego, los archivos se enviaban al servidor de mando y control de los atacantes.
El NCSC ha instado a los operadores de sitios web. Están en riesgo de ser objetivo de hackers patrocinados por el Estado. Deben solicitar inspecciones de seguridad. Estas inspecciones deben ser hechas por la Agencia de Internet y Seguridad de Corea (KISA). Además, se recomienda aplicar políticas estrictas de aprobación de distribución de software. También se debe exigir la autenticación del administrador en la fase final de distribución.
Otras recomendaciones generales incluyen:
- Actualizar el software y el sistema operativo de manera oportuna.
- Formar a los empleados en materia de seguridad de forma continua.
- Seguir los avisos gubernamentales sobre ciberseguridad para identificar y detener rápidamente las amenazas emergentes.
Estos ataques cibernéticos demuestran la sofisticación y la persistencia de los hackers norcoreanos. También demuestran su disposición a explotar cualquier vulnerabilidad para lograr sus objetivos. Es fundamental que las organizaciones y los individuos tomen medidas proactivas para protegerse contra estas amenazas. Deben seguir las recomendaciones de seguridad y mantenerse informados sobre las últimas tendencias en ciberseguridad.
