Tres grupos de jáqueres norcoreanos atacan de forma concertada a firmas de defensa surcoreanas

23.04.2024

SEÚL (Yonhap/Elena Meizoso) - Tres grupos de jáqueres de Corea del Norte se han infiltrado en unas 10 firmas de defensa surcoreanas durante el último año y medio, en un intento concertado de robar tecnologías de defensa, dijo, este martes, la Agencia Nacional de Policía de Corea del Sur (KNPA, según sus siglas en inglés).

La KNPA reveló los resultados de una investigación, realizada con el equipo nacional de gestión de crisis cibernéticas, sobre las ciberamenazas compartidas por las organizaciones gubernamentales relacionadas.

Según la agencia, se trata del primer ciberataque concertado, confirmado, lanzado por los tres grupos notorios de jáqueres norcoreanos -Lazarus, Andariel y Kimsuky-, al objeto de robar tecnologías de defensa de las firmas surcoreanas.

Desde noviembre de 2022, Lazarus ha jaqueado el servidor informático externo de una de las firmas afectadas e implantado códigos maliciosos, tomando el control, finalmente, de la intranet de la firma y transfiriendo datos clave de seis ordenadores internos a un servidor en la nube con sede en el extranjero.

Andariel ha estado robando datos de tecnología de defensa de otra firma de defensa desde octubre de 2022, al obtener ilegalmente el correo electrónico e información de contraseñas de otra firma, responsable del mantenimiento remoto y los trabajos de reparación de la firma de defensa.

Kimsuky también accedió ilegalmente a los servidores de correo electrónico de otra firma de tecnología de defensa y descargó datos tecnológicos entre abril y julio del año pasado, según la KNPA.

Basándose en las direcciones de protocolo de Internet (IP) y los códigos maliciosos empleados en los ataques, incluidos los que fueron identificados como Nukesped y Tiger RAT, así como en los métodos para atacar las lagunas de "software" más vulnerables y construir servidores de rutas, la policía rastreó el origen de los ataques hasta los grupos de jaqueo norcoreanos.

Algunas de las direcciones IP fueron rastreadas hasta la ciudad china de Shenyang e identificadas como las mismas direcciones utilizadas en el ciberataque de 2014 contra la agencia de energía hidroeléctrica surcoreana, la Corporación de Energía Nuclear e Hidráulica de Corea del Sur (KHNP).

La policía ha confirmado que tales ataques han continuado durante un año y medio, hasta recientemente. Sin embargo, según las autoridades, debido a la expiración de los períodos de almacenamiento de los registros de comunicación y al borrado de los rastros de las fugas, el período de tiempo exacto y la magnitud total del daño siguen siendo inconcebibles.

Las propias firmas afectadas no habían sido conscientes de los ataques hasta que comenzó la investigación policial.

Un oficial de la KNPA dijo, sin desvelar el tipo de tecnologías filtradas, citando la confidencialidad, que en cuanto a la extensión del daño, el Ministerio de Defensa y la Administración del Programa de Adquisiciones de Defensa (DAPA) investigarán el asunto minuciosamente.

La KNPA también especuló que el ciberataque podría haber sido realizado por orden del presidente del Comité de Asuntos de Estado de Corea del Norte, Kim Jong-un, diciendo que se sabe que, en el pasado, Kimsuky tenía el papel de atacar a organizaciones gubernamentales y políticos, y que Lazarus y Andariel tenían papeles separados, que tenían como objetivo las instituciones financieras y las instituciones militares y de defensa, respectivamente.

Agregó que la última investigación confirmó que los tres grupos de jáqueres lanzaron los ataques generales durante un período coincidente, para un solo propósito.

Imagen de portada: Tres grupos de jáqueres norcoreanos atacan de forma concertada a firmas de defensa surcoreanas - 1