Piratas informáticos norcoreanos están intentando robar secretos nucleares y militares de gobiernos y empresas privadas de todo el mundo, según han advertido Reino Unido, Estados Unidos y Corea del Sur.
Afirman que el grupo -conocido por los nombres de Andariel, Onyx Sleet y DarkSeoul, entre otros- está atacando entidades de defensa, aeroespaciales, nucleares y de ingeniería para obtener información clasificada, con el objetivo de hacer avanzar los programas y ambiciones militares y nucleares de Pyongyang.
El grupo ha estado buscando información en una gran variedad de sectores -desde el procesamiento de uranio hasta tanques, submarinos y torpedos- y ha tenido como objetivos Reino Unido, Estados Unidos, Corea del Sur, Japón, India y otros países, según Gordon Corera, corresponsal de seguridad de la BBC.
Publicidad
Se sospecha que ha atacado bases aéreas estadounidenses, la NASA y empresas de defensa.
La advertencia de alto nivel sobre este grupo concreto parece ser una señal de que su actividad, que combina espionaje y lucro, preocupa a las autoridades por su impacto tanto en tecnología sensible como en la vida cotidiana.
Recomendamos
Publicidad
Estados Unidos afirma que el grupo financia su actividad de espionaje a través de operaciones de ransomware o secuestro de datos contra instituciones sanitarias del país.
Hasta la fecha, cinco prestatarios de servicios sanitarios, cuatro contratistas de defensa con sede en EE.UU., dos bases de las Fuerzas Aéreas estadounidenses y la Oficina del Inspector General de la Administración Nacional de la Aeronáutica y del Espacio han sido objetivo del grupo.
Publicidad
El gobierno estadounidense ha ofrecido, de hecho, una recompensa de US$10 millones a quien aporte información que pueda identificar a aquellos que lanzan ciberataques contra el país por orden de un gobierno extranjero, especialmente los miembros de Andariel y, en concreto, una persona: Rim Jong Hyok.
Rim ha sido imputado por el Departamento de Justicia de EE.UU.por su supuesta participación en un plan para introducirse en los sistemas informáticos de hospitales estadounidenses y extorsionarlos para obtener un rescate.
Según Paul Chichester, director de operaciones del Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), “la operación de ciberespionaje global que hemos desenmascarado demuestra hasta qué punto están dispuestos a llegar los actores patrocinados por Corea del Norte para llevar a cabo sus programas militares y nucleares”.
“Debería recordar a los operadores de infraestructuras esenciales la importancia de proteger la información sensible y la propiedad intelectual que guardan en sus sistemas para evitar robos y usos indebidos”.
Publicidad
El NCSC estima que Andariel forma parte de la 3ª Oficina General de Reconocimiento (RGB) de Corea del Norte.
Según EE.UU., esta oficina está relacionada no solo con ciberactividades maliciosas de Pyongyang, sino también con el comercio ilícito de armas.
Andariel ha pasado de realizar ataques contra organizaciones de Estados Unidos y Corea del Sur a llevar a cabo ciberespionaje especializado y ataques de ransomware.
En algunos casos se ha observado cómo estos grupos lanzan ataques de secuestro de datos y operaciones de espionaje el mismo día y contra la misma víctima.
“Amenaza para la vida cotidiana”
La advertencia conjunta emitida por EE.UU., Reino Unido y Corea del Sur incluye consejos para ayudar a defenderse de los agentes norcoreanos, que, según afirma, también han estado buscando información sobre maquinaria robótica, brazos mecánicos y componentes de impresión en 3D.
“Esta denuncia pone de manifiesto que los grupos de delincuentes norcoreanos también suponen una grave amenaza para la vida cotidiana de los ciudadanos y no pueden ser ignorados ni desatendidos”, declaró Michael Barnhart, analista principal de Mandiant en Google Cloud.
“Su ataque a hospitales para generar ingresos y financiar sus operaciones demuestra un interés implacable por cumplir su misión prioritaria de recopilar información de inteligencia, sin contar con las posibles consecuencias que pueda tener en vidas humanas”.
Según el Departamento de Estado de EE.UU., Rim Jong Hyok y otros lograron piratear los sistemas informáticos de hospitales y otros proveedores sanitarios estadounidenses instalando un programa malicioso conocido como “Maui”, tras lo que exigieron rescates.
Los ataques encriptaron los ordenadores y servidores de las víctimas, que se utilizaban para almacenara pruebas médicas o historiales clínicos e interrumpieron los servicios sanitarios.
Con el dinero recibido por los pagos de los rescates, los ciberdelincuentes financiaron otras operaciones cibernéticas maliciosas dirigidas contra entidades gubernamentales estadounidenses y contratistas de defensa, entre otros.
En una de sus operaciones, que comenzó en noviembre de 2022, los hackers piratearon un contratista de defensa del que lograron extraer más de 30 gigabytes de datos, entre los que había información técnica no clasificada sobre material utilizado en aviones y satélites militares, gran parte de la cual era de 2010 o anterior.
Esta es solo la última de una serie de advertencias sobre hackers o piratas informáticos de Corea del Norte que se han producido en los últimos años.
Algunos de los incidentes cibernéticos más sonados han estado relacionados con el país, como el ataque a Sony Pictures en 2014 en represalia por una película cómica de Hollywood que retrataba el asesinato del líder norcoreano Kim Jong Un.
Esta acción fue protagonizada por Lazarus Group, otra de estas bandas de hackers norcoreanos, que ha robado a los largo de los años millones de dólares.
Una de sus víctimas fue en 2016 el Banco del Austro en Ecuador, al que robaron US$12 millones.
Ese mismo año intentó robar US$1.000 millones del Banco de Bangladesh, aunque casi todas las transferencias menos una de US$81 millones fueron frenadas.
