Por Kim Boram
Seúl, 20 de abril (Yonhap) — Corea del Norte ha utilizado sus habilidades mejoradas para llevar a cabo un ataque de puerta trasera contra la red de la compañía de servicios telefónicos virtuales de EE. UU. 3CX el mes pasado, dijo este jueves Mandiant, la unidad de ciberseguridad de Google.
3CX, que brinda servicios de voz, videoconferencia y mensajería en línea para empresas, vio que su cadena de red había sido atacada por un malware de robo de información plantado por un grupo de piratas informáticos llamado UNC4736. Se sabe que es un subgrupo de Lazarus denominado Labyrinth Chollima, mientras que Lazarus es una de las organizaciones de operaciones secretas dirigidas por el gobierno de Corea del Norte.
El logo corporativo de Mandiant (FOTO NO A LA VENTA) (Yonhap)
«Creemos que un actor de amenazas del nexo de Corea del Norte, a quien llamamos UNC4736, estuvo detrás de este ataque», dijo Charles Carmakal, director de consultoría de tecnología de Mandiant, en una conferencia de prensa en línea.
Dijo que Mandiant, que ha trabajado con 3CX para investigar la brecha masiva, descubrió que los piratas informáticos no habían atacado directamente la red de la empresa. En su lugar, colocaron el malware en un paquete de software separado de X Trader, una aplicación de comercio financiero de EE. UU., y condujeron a que el código malicioso se transfiriera a la red 3CX a través de la computadora personal de un empleado de 3CX.
«Lo que sucedió fue que un empleado de 3CX instaló el software X Trader en su computadora personal y terminó implementando una puerta trasera en su computadora personal, porque el software X Trader estaba mezclado con malware que llamamos una señal velada».
El funcionario de Mandiant dijo que el método empleado en el ataque era más alto y más sofisticado que los esquemas anteriores que Corea del Norte había utilizado para cometer delitos cibernéticos.
«Esto es muy notable para Mandiant porque es la primera vez que observamos que un ataque a la cadena de suministro de software conduce a otro ataque a la cadena de suministro de software», dijo. «Un actor de amenazas de Corea del Norte realmente intensificó su habilidad y su sofisticación, de modo que pueden realizar un ataque en cadena de suministro de software en cascada».
Esta foto proporcionada por Mandiant muestra a Charles Carmakal, director de consultoría de tecnología de la empresa. (FOTO NO A LA VENTA) (Yonhap)
La compañía también dijo que el último ataque de Corea del Norte contra 3CX tiene como objetivo la criptomoneda, que se cree que es una fuente de financiación para el programa nuclear del solitario país.
«Creo que es probable que esto tenga una motivación financiera como una especie de objetivo final, pero esta orientación también parece ser algo oportunista en términos de la cadena de suministro de software», dijo Ben Read, jefe de análisis de espionaje cibernético en Mandiant. «Esta puerta trasera permitiría a los actores de Corea del Norte en este caso recopilar información rudimentaria sobre el servidor y, lo que es más importante, extraer malware adicional para habilitar una mayor funcionalidad y propagarse por toda la red».
La portada del sitio web de 3CX (FOTO NO A LA VENTA) (Yonhap)
brk@yna.co.kr
(FIN)
