Los piratas informáticos norcoreanos crearon empresas estadounidenses para atacar a los desarrolladores de criptomonedas. Silent Push identifica a Lazarus Group detrás de fachadas corporativas falsas. El FBI confisca el dominio de Blocknovas vinculado a la distribución de malware.
Espías ciber de Corea del Norte crearon dos empresas en Estados Unidos, en violación de las sanciones del Tesoro, para infectar a desarrolladores que trabajan en la industria de criptomonedas con software malicioso, según investigadores de ciberseguridad y documentos revisados por Reuters.
Las empresas Blocknovas LLC y Softglide LLC se crearon en los estados de Nuevo México y Nueva York utilizando identidades y direcciones falsas, según informaron a Reuters investigadores de Silent Push, una firma estadounidense de ciberseguridad. Una tercera empresa, Angeloper Agency, está vinculada a la campaña, pero no parece estar registrada en Estados Unidos.
“Este es un raro ejemplo de piratas informáticos norcoreanos que lograron establecer entidades corporativas legales en Estados Unidos para crear fachadas corporativas que utilizaron para atacar a solicitantes de empleo desprevenidos”, dijo Kasey Best, director de inteligencia de amenazas en Silent Pus
h.Los piratas informáticos forman parte de un subgrupo dentro del Grupo Lazarus, un equipo de élite de piratas informáticos norcoreanos que forma parte de la Oficina General de Reconocimiento, la principal agencia de inteligencia extranjera de Pyongyang, dijo Silent Push.
El FBI se negó a comentar específicamente sobre Blocknovas o Softglide. Sin embargo, el jueves, un aviso de incautación del FBI publicado en el sitio web de Blocknovas indicó que el dominio fue incautado «como parte de una acción policial contra ciberdelincuentes norcoreanos que lo utilizaron para engañar a personas con ofertas de trabajo falsas y distribuir malware».
Antes de la incautación, funcionarios del FBI dijeron a Reuters que la oficina continúa «centrándose en imponer riesgos y consecuencias, no solo a los propios actores de la RPDC, sino a cualquiera que facilite su capacidad para llevar a cabo estos planes».
Un funcionario del FBI dijo que las operaciones cibernéticas de Corea del Norte son “quizás una de las amenazas persistentes más avanzadas” que enfrenta Estados Unidos.
La misión de Corea del Norte ante las Naciones Unidas en Nueva York no respondió inmediatamente a una solicitud de comentarios.
“Estos ataques utilizan personajes falsos que ofrecen entrevistas de trabajo, lo que da lugar a la implementación de malware sofisticado para comprometer las billeteras de criptomonedas de los desarrolladores.
También se dirigen a las contraseñas y credenciales de los desarrolladores, que podrían usarse para futuros ataques a empresas legítimas”, dijo Best.Silent Push pudo confirmar múltiples víctimas de la campaña, “específicamente a través de Blocknovas, que es por lejos la más activa de las tres empresas fachada”, dijeron los investigadores en un informe compartido con Reuters antes de su publicación.
Sanciones
Reuters revisó los documentos de registro de Blocknovas y Softglide, presentados en Nuevo México y Nueva York, respectivamente. No pudo localizar a las personas mencionadas en dichos documentos.
El registro de Blocknovas indicaba una dirección física en Warrenville, Carolina del Sur, que en Google Maps aparece como un terreno baldío.
Al parecer, Softglide fue registrado por una pequeña oficina de impuestos en Buffalo, Nueva York.La actividad representa la continua evolución de los crecientes esfuerzos de Corea del Norte por atacar los sectores de criptomonedas en un intento de recaudar dinero para el gobierno de Corea del Norte.
Además de robar moneda extranjera mediante hackeos, Corea del Norte ha enviado miles de trabajadores de TI al exterior para obtener millones para financiar el programa de misiles nucleares de Pyongyang, según Estados Unidos, Corea del Sur y las Naciones Unidas.
La presencia de una empresa controlada por Corea del Norte, registrada por la Oficina de Control de Activos Extranjeros (OFAC) en Estados Unidos, viola las sanciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro. También viola las sanciones de las Naciones Unidas que prohíben las actividades comerciales de Corea del Norte destinadas a ayudar al gobierno o al ejército del país aislado.
El Departamento de Estado de Nueva York informó a Reuters que no hace comentarios sobre empresas registradas en el estado. La oficina del secretario de estado de Nuevo México no respondió de inmediato a una solicitud de comentarios.
Los hackers intentaron infectar a solicitantes de empleos falsos con al menos tres cepas de malware conocido, previamente vinculado a operaciones cibernéticas norcoreanas. El malware vinculado a la campaña de Silent Push puede utilizarse para robar información, facilitar el acceso a redes e instalar otras formas de malware.
Información de AJ Vicens en Detroit y Anton Zverev y James Pearson en Londres; información adicional de Raphael Satter en Washington, Andrew Hay en Nuevo México y Michelle Nichols en Nueva York; edición de Chris Sanders y Daniel Wallis.
