McAfee ha anunciado durante la conferencia RSA, que tiene lugar en San Francisco (California), el descubrimiento de conocimientos técnicos inusuales y pruebas que vinculan al actor del estado-nación de Corea del Norte, Lazarus Group, con la campaña de ciberespionaje dirigida a organizaciones de defensa, gobierno, energía e infraestructuras críticas de todo el mundo en diciembre de 2018 y que aún continúa.
Principalmente, la técnica empleada eran los correos electrónicos de spearphishing, un método poco común y poco avanzado, que simula procesos de trabajo de forma muy convincente para obtener acceso a los sistemas.
Grant Bourzikas, Chief Information Security Officer en McAfee, ofrece su opinión de experto sobre cómo las empresas pueden protegerse ante este tipo de ataques:
“Seguimos viendo a los cibercriminales utilizar spearphishing y otras técnicas de ingeniería social para infiltrarse entre sus objetivos con alto grado de éxito. Como CISO considero que es imprescindible que las organizaciones tomen nota de estos métodos y adopten una estrategia dual con soluciones de protección de correo electrónico avanzadas y formación a los empleados para defenderse de ataques cada vez más sofisticados y proteger su infraestructura interna”. Entre las principales conclusiones del estudio, destacan las siguientes:
El proceso de atribución
En cualquier investigación de ciberseguridad el proceso de atribución es crítico para entender las campañas de ataque y sus implicaciones. Sin embargo, a veces no hay suficientes evidencias para identificar quien está detrás de un ataque. Una atribución errónea puede tener también importantes consecuencias, por lo que este proceso no debe tomarse a la ligera.
Hasta ahora el equipo de investigación de amenazas de McAfee (Advanced Threat Research) no contaba con suficientes evidencias técnicas para atribuir estos ataques a Lazarus. Ahora, sin embargo, gracias al acceso que ha tenido McAfee a los datos en los servidores de control incautados que usaban los adversarios, ya no cabe ninguna duda.
Los datos de comando y control fueron proporcionados a McAfee para su análisis por parte de una entidad gubernamental que está familiarizada con la investigación publicada por McAfee sobre esta campaña de malware.
Nuevos objetivos
Las conexiones entre Lazarus y la Operación Sharpshooter se consolidan con evidencia técnica a medida que esta campaña global continúa afectando a sectores clave.
Cuando McAfee descubrió la Operación Sharpshooter en diciembre de 2018, existían posibles vínculos con el grupo Lazarus, pero no suficientes conexiones técnicas para atribuir la campaña con confianza. La nueva evidencia ahora muestra indicadores técnicos y procedimientos que se solapan entre los dos.
Las conexiones entre Lazarus y la Operación Sharpshooter se consolidan con evidencia técnica a medida que esta campaña global continúa afectando a sectores clave
La Operación Sharpshooter parece que comenzó en septiembre de 2017, lo que extiende la campaña aproximadamente un año más de lo que la evidencia previa sugería. La presunta campaña de reconocimiento de datos también se ha orientado hacia nuevos objetivos, que ahora se centran en las finanzas, el gobierno y las infraestructuras críticas en todo el mundo, principalmente en Alemania, Turquía, Reino Unido y Estados Unidos
Los actores, principalmente, aprovecharon los correos electrónicos de spearphishing, simulando procesos de trabajo de forma muy convincente, para obtener acceso a los sistemas. Se trata de una técnica ordinaria y no avanzada que tuvo un gran éxito al permitir a Lazarus infiltrarse en las principales organizaciones en industrias como el gobierno y las finanzas.
Conexiones con África
El análisis del código del servidor de comando y control y los registros de archivos descubrieron un bloque de red de direcciones IP originadas en la ciudad de Windhoek en Namibia, África, lo que lleva a McAfee a creer que Lazarus está probando implantes en la región antes de realizar ataques más amplios .
