Los piratas informáticos patrocinados por el estado afiliados a Corea del Norte han respaldado una serie de ataques a las criptomonedas en los últimos tres años, y ha surgido nueva evidencia.
Investigadores de la compañía cibernética israelí ClearSky dijeron que el ataque, llamadoCriptonúcleo«, Enfocado en cryptobourses en Israel, Japón, Europa y EE. UU., lo que llevó al robo de monedas virtuales por valor de millones de dólares.
Los hallazgos son el resultado de la compilación de artefactos de una serie de informes aislados pero similares descritos en detalle por F-Secure, CERT JPCERT/CC de Japón y NTT Security en los últimos meses.
Desde que los actores de Hidden Cobra aparecieron en escena en 2009, han utilizado sus capacidades cibernéticas ofensivas para llevar a cabo espionaje y robos de criptomonedas cibernéticas contra negocios e infraestructuras críticas. El objetivo del adversario está en línea con los intereses económicos y geopolíticos de Corea del Norte, que están motivados principalmente por la ganancia financiera como medio para eludir las sanciones internacionales. En los últimos años, Lazarus Group ha ampliado aún más sus ataques a las industrias aeroespacial y de defensa.
CryptoCore, también llamado CryptoMimic, Dangerous Password, CageyChameleon y Leery Turtle, no difiere de otras operaciones de Lazarus en que se enfoca principalmente en el robo de criptomonedas.
Se cree que la campaña comenzó en 2018, su modus operandi implica el uso de spear-phishing como una intersección para obtener la cuenta del administrador de contraseñas de la víctima, su uso para saquear claves de billetera y transferir monedas a la billetera propiedad del atacante.
Según un informe de ClearSky publicado en junio de 2020, el grupo supuestamente robó unos 200 millones de dólares que vinculaban a CryptoCore con cinco víctimas en Estados Unidos, Japón y Oriente Medio. Investigaciones recientes muestran que las operaciones estaban más extendidas que lo documentado anteriormente, y varias partes del vector de ataque se estaban desarrollando al mismo tiempo.
Una comparación de los indicadores de compromiso (IoC) de las cuatro publicaciones no solo encontró una superposición suficiente en el comportamiento y el código, sino que también aumentó la posibilidad de que cada uno de los informes abordara diferentes aspectos de lo que parecía ser extenso. Ataque.
Además, ClearSky afirmó que reafirmó su atribución al comparar el malware implementado en la campaña CryptoCore con otras campañas de Lazarus y encontró fuertes similitudes.
«Este grupo se ha infiltrado con éxito en muchas empresas y organizaciones de todo el mundo durante muchos años», dijeron los investigadores de ClearSky. «Hasta hace poco, no se sabía que este grupo atacara objetivos israelíes».
