La compañía FireEye ha confirmado que sus dispositivos han detectado y frenado correos de spear phishing (estafa de correo electrónico dirigida a objetivos concretos) enviados el 22 de septiembre de 2017 a compañías eléctricas de Estados Unidos por conocidos actores de ciberamenazas probablemente desde Corea del Norte. Esta acción constituye una fase previa de reconocimiento, y no necesariamente indicativa de un ciberataque inminente y perjudicial que podría llevar meses de preparación para que no sea detectado (a juzgar por experiencias anteriores con otros grupos de ciberamenazas). Fuentes de la compañía aseguran haber detectado previamente grupos, que sospechan que están vinculados con el gobierno norcoreano, para comprometer la seguridad de centrales eléctricas en Corea del Sur, pero estos ataques no condujeron a una interrupción del suministro de energía eléctrica.
desde la firma aseguran que «no hemos observado agentes, que sospechamos norcoreanos, utilizando alguna herramienta o método específicamente diseñado para comprometer o manipular las redes de Sistemas de control industrial (ICS) que regulan el suministro de energía. Además, no hemos descubierto evidencias de que actores ligados a Corea del Norte tengan acceso a semejante capacidad en este momento».
Los estados nacionales a menudo llevan a cabo operaciones de ciberespionaje para recabar inteligencia y prepararse para contingencias, especialmente en momentos de alta tensión. FireEye ha detectado más de 20 grupos de ciberamenazas, que se sospecha que están patrocinados por al menos otros cuatro países, intentando conseguir acceso a objetivos en el sector energético que podrían haber sido usados para provocar interrupciones del servicio. Los pocos ejemplos de alteraciones en las instalaciones del sector de la energía han sido causados por actividades cibernéticas que requieren pasos técnicos y operativos adicionales que estos actores norcoreanos no parecen haber hecho o no han mostrado tener la habilidad para llevarlos a cabo.
FireEye ya determinó que Corea del Norte volvería a usar esta técnica para inspirar miedo y/o cumplir sus objetivos de propaganda interna
En diciembre de 2014, el gobierno surcoreano informó del ataque a una planta de energía gestionada por Korea Hydro and Nuclear Power (KHNP) con un malware de borrado de archivos, ligado potencialmente a actores norcoreanos. Este incidente no probó la capacidad de interrumpir las operaciones. En su lugar, se filtraron documentos con información sensible de KHNP como parte del esfuerzo para exagerar el acceso que tenían y avergonzar al gobierno surcoreano. FireEye ya determinó que Corea del Norte volvería a usar esta técnica para inspirar miedo y/o cumplir sus objetivos de propaganda interna.
Hasta el momento, las acciones, que sospechamos que proceden de Corea del Norte, son consecuentes con un deseo de probar una capacidad disuasoria, más que el preludio de un primer ataque no provocado en el ciberespacio. Sin embargo, los actores vinculados con Corea del Norte son audaces, han lanzado múltiples ataques cibernéticos diseñados para demostrar la fuerza y determinación nacional, y muestran escasa preocupación por un potencial descubrimiento y atribución de sus actividades. Probablemente permanecen comprometidos a conseguir sus objetivos en el sector de la energía, en particular en Corea del Sur y entre Estados Unidos y sus aliados, como un medio de disuasión ante un posible conflicto o sembrar el caos en tiempo de guerra.
El número de estados nacionales desarrollando la capacidad de deshabilitar el funcionamiento de centrales eléctricas ha aumentado en los últimos años. En Corea del Norte, incluso comprometer a un nivel limitado la seguridad de las empresas eléctricas, probablemente sería exagerado y aclamado como una victoria por Pyongyang.
Los hackers ligados a Corea del Norte están entre los creadores más prolíficos de amenazas por parte estados nacionales, atacando no sólo a Estados Unidos y Corea del Sur, sino al sistema financiero mundial y a naciones en todo el mundo. Sus motivaciones varían desde el enriquecimiento económico al espionaje tradicional o al sabotaje, pero todas comparten el sello distintivo de un poder cibernético ascendente dispuesto a violar las normas internacionales con poca consideración por el posible efecto boomerang.