El FBI y el Departamento de Seguridad Nacional de los Estados Unidos han publicado una declaración conjunta en la que acusan a una banda cibercriminal con supuestos vínculos con el gobierno de Corea del Norte de haber creado y distribuido por el mundo dos familias de malware.
Las investigaciones de las autoridades vinculan la autorías del troyano Joanap y el gusano Brambul con operaciones del gobierno coreano. “(El DSN y el FBI) han identificado direcciones IP y otros indicadores de infección (IoCs) asociados con dos familias de malware que son usadas por el gobierno de Corea del Norte”, dijeron las autoridades en una alerta que hicieron pública.
Las autoridades aseguran que Joanap permite a Corea del Norte “filtrar datos, descargar y ejecutar ataques en segundo plano e iniciar comunicaciones proxy en un dispositivo Windows comprometido”.
Brambul es un gusano que se instala en el equipo en la forma de un archivo de biblioteca o archivo ejecutable portátil. “Cuando se lo ejecuta, el programa intenta establecer contacto con los sistemas de las víctimas y direcciones IP de las subnets locales de las víctimas. Si logra hacerlo, la aplicación intenta conseguir acceso sin autorización mediante el protocolo SMB (puertos 139 y 445) ejecutando ataques que tratan de conseguir contraseñas a la fuerza usando una lista de contraseñas integradas. Además, el programa genera direcciones IP aleatorias para facilitar ataques futuros”.
Los programas roban información de los equipos y las actividades de sus usuarios y la comparten con el grupo de cibercriminales Hidden Cobra, también conocido como Lazarus, a quienes se atribuye una serie de ataques masivos y que causaron intensos daños durante los últimos años, incluyendo la intrusión a Sony Entertainment, las amenazas de WannaCry y ataques a varias entidades financieras de todo el mundo. Sus operaciones incluyen la Operación Blockbuster, Dark Seoul y Operación Troy, y el FBI asegura que es responsable de herramientas como Sharpknot, Hardrain, Badcall, Bankshot, Fallchil, Volgmer y Delta Charlie.
Los atacantes están distribuyendo Johanap y Brambul desde 2009 para conseguir información sobre medios de comunicación, entidades financieras, infraestructuras aeroespaciales e infraestructuras críticas de Estados Unidos y otros países del mundo.
No es la primera vez que se involucra a Corea del Norte en ciberataques maliciosos, pero Pyongyang siempre ha negado las acusaciones. Las alertas tampoco parecen detener a los atacantes, que siguen tan activos como siempre a pesar de las múltiples advertencias y acusaciones.
Fuentes
FBI fingers North Korea for two malware strains • The Register
US Says North Korea Behind Malware Attacks • The New York Times
U.S. Attributes Two More Malware Families to North Korea • Security Week
Estados Unidos responsabiliza a Corea del Norte por dos dañinas cepas de malware