En un aviso reciente, la agencia federal de inteligencia de Alemania (BfV) y el Servicio de Inteligencia Nacional (NIS) de Corea del Sur advierten sobre una operación de ciberespionaje en curso dirigida al sector de defensa global en nombre del gobierno de Corea del Norte.
Los ataques tienen como objetivo robar información de tecnología militar avanzada y ayudar a Corea del Norte a modernizar las armas convencionales, así como a desarrollar nuevas capacidades militares.
El aviso conjunto de ciberseguridad de hoy (también disponible en coreano y alemán) se destacan dos casos atribuidos a actores norcoreanos; uno de ellos el grupo Lazarus, para proporcionar las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes.
Ataque a la Cadena de Suministros
Según el aviso, el primer caso se refiere a un incidente ocurrido a finales de 2022, cuando “un ciberactor norcoreano irrumpió en los sistemas de un centro de investigación de tecnologías marítimas y navieras” y “ejecutó un ataque a la cadena de suministro” comprometiendo la empresa que gestionó las operaciones de mantenimiento del servidor web de la organización objetivo
El intruso siguió una cadena de ataque que incluía el robo de credenciales SSH, el abuso de herramientas legítimas, el desplazamiento lateral en la red y el intento de permanecer oculto en la infraestructura.
Específicamente, el aviso enumera los siguientes pasos de ataque:
- Violó la empresa de mantenimiento del servidor web, robó credenciales SSH y accedió al servidor web Linux del centro de investigación.
- Archivos maliciosos descargados (herramienta de túnel, secuencia de comandos Python Base64) utilizando herramientas legítimas como curl, obtenidos de los servidores de comando y control (C2).
- Movimiento lateral realizado: estableció SSH a otros servidores, usó tcpdump para la recopilación de paquetes y robó las credenciales de las cuentas de los empleados.
- Se hizo pasar por un administrador de seguridad usando información de cuenta robada e intentó distribuir un archivo de parche malicioso a través de PMS, pero el administrador genuino lo bloqueó.
- Persistió explotando la vulnerabilidad de carga de archivos del sitio web, cargó un shell web y envió correos electrónicos de phishing.
Al comprometer primero al proveedor de servicios de TI, el actor de amenazas norcoreano pudo infiltrarse en una organización que mantiene una buena postura de seguridad, aprovechando la relación entre ambos para llevar a cabo ataques encubiertos en pequeños y cuidadosos pasos.
El boletín sugiere varias medidas de seguridad contra estos ataques, incluyendo limitar el acceso de los proveedores de servicios de TI a los sistemas necesarios para el mantenimiento remoto, monitorear de cerca los registros de acceso para detectar eventos de acceso no autorizados, usar autenticación multifactor (MFA) en todas las cuentas y adoptar medidas estrictas de usuario. políticas de autenticación para el sistema de gestión de parches (PMS).
Ataques de Ingeniería Social
El segundo ejemplo muestra que la “Operación Dream Job” del grupo Lazarus, una táctica que los actores norcoreanos utilizan contra empleados de empresas de criptomonedas y desarrolladores de software, también se utilizó contra el sector de defensa.
ESET destacó un incidente similar en septiembre de 2023, donde Lazarus apuntó a un empleado de una empresa aeroespacial en España para infectar sistemas con la puerta trasera ‘LightlessCan’.
El boletín de seguridad destaca un caso en el que Lazarus crea una cuenta en un portal de empleo en línea utilizando datos personales falsos o robados de una persona existente y los cura con el tiempo para que se conecte en red con las personas adecuadas para los objetivos de ingeniería social de la campaña.
Luego, el actor de amenazas usa esa cuenta para acercarse a las personas que trabajan para organizaciones de defensa y se conecta con ellas para iniciar una conversación en inglés, construyendo lentamente una conexión a lo largo de varios días, semanas o incluso meses.
Después de ganarse la confianza de la víctima, el actor de amenazas le ofrece un trabajo y le sugiere un canal de comunicación externo donde puede compartir un archivo PDF malicioso que se describe como un documento con detalles sobre la oferta.
Este archivo suele ser un iniciador de primera etapa que coloca malware en la computadora del objetivo, que luego Lazarus utiliza como punto de apoyo inicial para moverse dentro de la red corporativa.
En algunos casos, Lazarus envía un archivo ZIP que contiene un cliente VPN malicioso, que utilizan para acceder a la red del empleador de la víctima.
Si bien estas son tácticas conocidas, aún pueden tener éxito a menos que las organizaciones eduquen a sus empleados sobre las últimas tendencias en ciberataques.
Adoptar el principio de privilegio mínimo y restringir el acceso de los empleados sólo a los sistemas que necesitan debería ser el comienzo de una buena postura de seguridad.
Agregar mecanismos y procedimientos de autenticación sólidos para el sistema de administración de parches y mantener registros de auditoría que incluyan el acceso de los usuarios debería mejorar la postura de seguridad.
Para los ataques de ingeniería social, las dos agencias recomiendan capacitar a los empleados en tácticas comunes.