El FBI y el Centro para la Seguridad en Internet (CISA) han publicado un nuevo estudio en el que se acusa a los hackers norcoreanos de atacar el negocio de las criptomonedas en Estados Unidos. Este documento analiza el hackeo en detalle y las razones por las que el gobierno de Corea del Norte es responsable del ataque al sitio web.
El CISA tuiteó:
With the @FBI, and @USTreasury, we released a new cybersecurity advisory on North Korean state-sponsored activity targeting blockchain technology and the cryptocurrency industry. Read the technical guidance and mitigation strategies: https://t.co/Oio478Ouv3 pic.twitter.com/VLa3HUrsPY
— Cybersecurity and Infrastructure Security Agency (@CISAgov) April 18, 2022
«Con el @FBI y @USTreasury, publicamos un nuevo aviso de ciberseguridad sobre la actividad patrocinada por el estado de Corea del Norte dirigida a la tecnología blockchain y la industria de la criptomoneda».
El informe completo
Este aviso de ciberseguridad (CSA) conjunto es emitido por la Oficina Federal de Investigación (FBI), la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) y el Departamento del Tesoro de los Estados Unidos (Tesoro) para aumentar la conciencia de la amenaza cibernética asociada con los robos de criptomonedas y las tácticas utilizadas por un grupo de amenaza persistente avanzada (APT) patrocinado por el estado norcoreano desde al menos 2020, según el informe. The Lazarus Group, APT38, BlueNoroff y Stardust Chollima son algunos de los nombres utilizados por la industria de la ciberseguridad para referirse a este grupo.
En los últimos meses, el gobierno de los Estados Unidos ha observado que los ciberactores norcoreanos tienen como objetivo una amplia gama de organizaciones en las industrias de la tecnología blockchain y la criptomoneda. Estas organizaciones incluyen Exchanges de criptomonedas, protocolos de finanzas descentralizadas (DeFi) y videojuegos de criptomonedas para ganar, compañías de comercio de criptomonedas y fondos de capital de riesgo que invierten en criptomonedas, así como individuos que poseen grandes cantidades de criptomonedas o tokens valiosos no fungibles (NFTs).
El comportamiento detallado en esta advertencia implica la ingeniería social de las víctimas mediante el uso de una variedad de plataformas de comunicación con el fin de persuadirlas para que descarguen programas de criptomonedas troyanizados para su uso en sistemas operativos Windows o macOS, según se indica en este aviso.
A continuación, los ciberagentes utilizan los programas para obtener acceso al ordenador de la víctima, propagar malware en el entorno de red de la víctima, robar claves privadas o aprovechar otros fallos de seguridad en el entorno de red de la víctima. Estas operaciones abren el camino para que se produzcan más actividades de seguimiento, que a su vez facilitan las transacciones fraudulentas en blockchain.
Hay un informe exhaustivo sobre los aspectos técnicos de la brecha, que incluye información sobre el procedimiento y las herramientas que utilizaron los hackers para explotar la vulnerabilidad. El informe dice:
«Las cargas útiles observadas incluyen variantes actualizadas para macOS y Windows de Manuscript, un troyano de acceso remoto (RAT) personalizado que recopila información del sistema y tiene la capacidad de ejecutar comandos arbitrarios y descargar cargas útiles adicionales. La actividad posterior a la vulneración se adapta específicamente al entorno de la víctima y, en ocasiones, se ha completado una semana después de la intrusión inicial.»