Cisco Talos, empresa especializada en inteligencia sobre ciberamenazas, reveló el 8 de septiembre que proveedores de energía situados en Estados Unidos, Canadá y Japón había sido objeto de ciberataques entre febrero y julio del año pasado. Atribuye estas acciones a al grupo de hackers norcoreano LazarusHackers respaldados por Pyongyang, famosos por hackear Sony Pictures en 2014.
Se descubre un nuevo malware
Los investigadores de Cisco Talos han determinado que Lazarus habría utilizó la falla de Log4Shellque está presente en el software Log4j desde hace más de un año. Habrían aprovechado para comprometer los servidores VMware Horizonque proporcionan entornos de trabajo virtuales a través de la nube, desplegando dos piezas de malwareVSingle» y «YamaBot». A implante de malware desconocido llamado «MagicRAT» también fue descubierto.
Los primeros detalles de estas maniobras de espionaje había sido revelado por Symantecuna filial de Broadcom Software que ofrece servicios de protección informática, en abril. Es atribuyó el delito a Stonefly, una rama del Grupo Lazarus más conocido como Andariel, Guardián de la Paz, OperaciónTroya y Chollima Silenciosa.
Utilizando VSingle, los hackers podrían realizar una serie de actividades que van desde el reconocimiento hasta la exfiltración de datos. Jung soo An, Asheer Malhotra y Vitor Ventura, tres investigadores de Cisco Talos explican que » el objetivo principal de estos ataques era probablemente para establecer un acceso a largo plazo a las redes de las víctimas para operaciones de espionaje de acuerdo con los objetivos del gobierno norcoreano. Estas actividades están en línea con las intrusiones históricas de Lázaro que se dirigió a empresas de infraestructuras críticas y de energía para establecer un acceso a largo plazo para desviar la propiedad intelectual «.
Lazarus, la amenaza norcoreana
En apoyando al grupo Lazarus en sus actividades de ciberespionaje, Corea del Norte busca satisfacer sus intereses. Interesados en el robo de propiedad intelectual con fines militares, los hackers llevan tiempo centrando sus ataques sobre las empresas del sector de la criptomoneda para financiarse.
Recientemente, los ciberpiratas han sido acusados de de hackear la blockchain de Harmony desviando 100 millones de dólares en criptodivisas. A principios de este año, se sospechó que de robar 625 millones de dólares en criptomonedas de de la cadena lateral del Ronin una cadena lateral diseñada específicamente para apoyar el juego «Play To Earn» de Axie Infinity.
Este tipo de ataques es ventajoso para Pyongyang ya que es particularmente difícil de rastrear hasta el autor de los ciberataques. A pesar de ello, el FBI tuvo éxito el 8 de septiembre, para recuperar el equivalente a 30 millones de dólares en criptomonedas robadas por el grupo malicioso. En julio, el gobierno estadounidense anunció una recompensa de 10 millones de dólares a los que son capaces de para proporcionar información en los miembros de Lázaro.
