‘Hackers’ para financiar a Kim Jong-un
Ciberdelincuentes norcoreanos se infiltran en un centenar de tecnológicas de Estados Unidos para robar información y dinero para el régimen de su país
Corea del Norte está sacando provecho de una de las grandes tendencias de los últimos años en el entorno laboral: la implantación del teletrabajo. El régimen de Kim Jong-un ha colocado a miles de compatriotas como trabajadores en empresas de todo el mundo, según advierte el Departamento de Justicia de EE UU. Se trata además de empleados cualificados, sobre todo desarrolladores de software. ¿Cómo logran ser contratados en empresas norteamericanas sin que salten las alarmas? “Los norcoreanos usan identidades robadas o prestadas de ciudadanos estadounidenses para hacerse pasar por trabajadores nacionales, infiltrarse en los sistemas de empresas estadounidenses y recaudar ingresos para Corea del Norte”, señala el organismo.
Una investigación que presenta esta semana la empresa de ciberseguridad CrowdStrike, mundialmente famosa por haber propiciado hace un mes y medio una caída global de los sistemas de aquellos de sus clientes que también usaban Windows, ha revelado que un solo grupo de hackers norcoreanos consiguió entrar en más de un centenar de empresas estadounidenses, la mayoría del sector tecnológico o de las fintech y muchas de ellas incluidas en el ranking Fortune 500. Tras ser contratados como desarrolladores remotos, los hackers instalaban software malicioso en los sistemas de la compañía, ya fuera para hacerse con información sensible o para sacar rédito económico. Irónicamente, fue el antivirus Falcon, cuya actualización chocó a mediados de julio con Windows y provocó el fundido a azul de millones de pantallas, el que detectó la intrusión.
“Todo comenzó en abril de este año, cuando un cliente contactó a CrowdStrike tras ser alertado por las autoridades sobre una infiltración maliciosa. Nuestro equipo de investigación de amenazas no solo determinó quién era el responsable, sino que también descubrió docenas de otras organizaciones afectadas”, explica a EL PAÍS Adam Meyers, responsable de inteligencia y operaciones contra ciberdelincuentes en CrowdStrike y experto en las llamadas APT (amenazas persistentes avanzadas, por sus siglas inglesas), término con el que se conoce a los grupos organizados de ciberdelincuentes mejor preparados. “Esta campaña, dirigida principalmente al sector tecnológico, pero también al aeroespacial y al de defensa, es un claro recordatorio de la creciente amenaza que representan los infiltrados”.
El equipo de Meyers ha identificado al grupo o APT que consiguió ejecutar esa infiltración: se llama Famous Chollima y es una pata de Lazarus, la palabra clave con la que se conoce a los hackers que operan desde Corea del Norte. Cuentan con recursos, con una estructura jerarquizada y están muy organizados, lo que les permite elaborar ataques complejos, coordinados y veloces. Sus profesionales están divididos en departamentos y desempeñan roles especializados. Están patrocinados por el Gobierno del país asiático, aunque las autoridades niegan oficialmente cualquier vinculación con ellos, igual que hacen EE UU, Rusia, China o Israel con las APT a las que se les asocia.
Imposible de detectar
“Famous Chollima explotó los procesos de contratación e incorporación de personal para obtener acceso físico a través de sistemas en remoto, que se encontraban en ubicaciones intermediarias. Los infiltrados accedieron remotamente a estos sistemas para iniciar sesión en las VPN corporativas, haciéndose pasar por desarrolladores”, se lee en el informe de CrowdStrike. “Este disfraz permitió a Famous Chollima obtener un acceso profundo y duradero a docenas de organizaciones, lo que durante mucho tiempo resultó casi imposible de detectar”. “El Departamento de Justicia estima que estas acciones habrán reportado a los atacantes unos 6,8 millones de dólares en dos años, pero creo que apenas estamos arañando la superficie de lo amplia que fue esta campaña”, señala Meyers.
¿Qué tipo de información buscaban los cibercriminales norcoreanos? “Datos que pudieran aportar valor a la República Popular Democrática de Corea, como inteligencia comercial sensible e información patentada de numerosas empresas tecnológicas”, añade el tejano. El laboratorio de Meyers cree que Famous Chollima presta apoyo al Departamento de la Industria de Municiones de Corea del Norte, que financia y supervisa los programas de misiles y armas norcoreanos. Probablemente, los robos de información estarán relacionados con ello. El Departamento de Justicia tiene constancia de al menos 300 compañías, entre las que se cuentan el centenar de tecnológicas detectadas por CrowdStrike, afectadas en los últimos meses por este tipo de infiltraciones. El FBI publicó en mayo un anuncio en el que alerta a las empresas públicas y privadas de esta tendencia y ofrece consejos para proteger los negocios.
La dificultad para rastrear la autoría de los ciberataques, que se pueden encubrir recurriendo a cadenas de servidores de otros países, lo convierten en un terreno especialmente abonado a las operaciones de inteligencia. Los países lo saben y, aunque ninguno lo reconoce, se sospecha que, quienes pueden hacerlo, financian y dan medios a grupos de hackers de élite, las APT, para que lleven a cabo acciones que no puedan ser atribuibles a Gobierno alguno, evitando así incidentes diplomáticos. El tipo de misiones encomendadas a estos grupos, a los que se les presupone una capacidad solo superada por los servicios secretos de las grandes potencias, suelen estar relacionadas con la obtención de información confidencial: espionaje industrial, sabotaje de planes de enriquecimiento de uranio, obtención de documentos militares, etcétera.
La aproximación de Corea del Norte es distinta. Sus equipos de hackers están principalmente enfocados a obtener fondos para un régimen que está estrangulado por las sanciones internacionales. Uno de sus manás en los últimos años están siendo las criptomonedas. Microsoft alertó el viernes de que Citrine Sleet, un grupo de hackers norcoreano, había explotado una vulnerabilidad de día cero (un fallo en algún programa desconocido por los propios desarrolladores) de Chromium, el navegador de código abierto de Google, para entrar en varias organizaciones y robar criptomonedas, si bien se desconoce todavía la cantidad sustraída.
Criptomonedas
Un informe del Consejo de Seguridad de la ONU calcula que los norcoreanos han robado unos 3.000 millones de dólares en criptomonedas desde 2017. Ese mismo panel estima que los fondos aportados por los grupos de hackers suponen la mitad de las divisas que llegan a Corea del Norte. Según cuenta la periodista Anna Fifield en su libro El gran sucesor (Capitán Swing, 2021), fue Kim Jong-un, nieto del fundador de la dinastía de dictadores, quien decidió en 2009, cuando heredó las riendas del país, que el régimen le podía sacar mucho partido al ciberespacio. Dentro del país, el acceso a internet es testimonial; de fronteras afuera, sin embargo, la arena digital se interpreta como un potente instrumento para espiar, sabotear y robar casi sin consecuencias. “Los estudiantes que muestran posibles aptitudes [para la informática], algunos de solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang”, donde “a lo largo de cinco años se les enseña a hackear sistemas y a crear virus informáticos”, escribe Fifield.
La estrategia ha dado resultado. EE UU y Reino Unido, así como Microsoft, atribuyen a esta organización el lanzamiento en 2017 de WannaCry 2.0, el mayor ransomware de la historia: este virus informático secuestró unos 300.000 ordenadores de 150 países, incluyendo los del sistema de salud de Reino Unido, y pidió un rescate a cambio de su liberación.
Dentro de Lazarus, las distintas divisiones persiguen objetivos diferentes. Por ejemplo, Famous Chollima, la responsable de la filtración de trabajadores, trabaja para el sistema armamentístico norcoreano. Otra práctica frecuente entre los hackers norcoreanos es entrar en el ordenador de colegas extranjeros para conocer lo último en ciberseguridad.
Famous Chollima trabaja para el sistema de municiones de la nación
Los atacantes habrían conseguido unos 6,8 millonesde dólares en dos años