Un grupo de ¡®hackers¡¯ norcoreanos se infiltra en un centenar de tecnol¨®gicas para financiar a Kim Jong-un

Corea del Norte est¨¢ sacando provecho de una de las grandes tendencias de los ¨²ltimos a?os en el entorno laboral: la implantaci¨®n del teletrabajo. El r¨¦gimen de Kim Jong-un ha colocado a miles de compatriotas como trabajadores en empresas de todo el mundo, seg¨²n advierte el Departamento de Justicia de EE UU. Se trata adem¨¢s de empleados cualificados, sobre todo desarrolladores de software. ?C¨®mo logran ser contratados en empresas norteamericanas sin que salten las alarmas? ¡°Los norcoreanos usan identidades robadas o prestadas de ciudadanos estadounidenses para hacerse pasar por trabajadores nacionales, infiltrarse en los sistemas de empresas estadounidenses y recaudar ingresos para Corea del Norte¡±, se?ala el organismo.

Una investigaci¨®n que presenta esta semana la empresa de ciberseguridad CrowdStrike, mundialmente famosa por haber propiciado hace un mes y medio una ca¨ªda global de los sistemas de aquellos de sus clientes que tambi¨¦n usaban Windows, ha revelado que un solo grupo de hackers norcoreanos consigui¨® entrar en m¨¢s de un centenar de empresas estadounidenses, la mayor¨ªa del sector tecnol¨®gico o de las fintech y muchas de ellas incluidas en el ranking Fortune 500. Tras ser contratados como desarrolladores remotos, los hackers instalaban software malicioso en los sistemas de la compa?¨ªa, ya fuera para hacerse con informaci¨®n sensible o para sacar r¨¦dito econ¨®mico.

Ir¨®nicamente, fue el antivirus Falcon, cuya actualizaci¨®n choc¨® a mediados de julio con Windows y provoc¨® el fundido a azul de millones de pantallas, el que detect¨® la intrusi¨®n. ¡°Todo comenz¨® en abril de este a?o, cuando un cliente contact¨® a CrowdStrike tras ser alertado por las autoridades sobre una infiltraci¨®n malicioso. Nuestro equipo de investigaci¨®n de amenazas no solo determin¨® qui¨¦n era el responsable, sino que tambi¨¦n descubri¨® docenas de otras organizaciones afectadas¡±, explica a EL PA?S Adam Meyers, responsable de inteligencia y operaciones contra ciberdelincuentes en CrowdStrike y experto en las llamadas APT (amenazas persistentes avanzadas, por sus siglas en ingl¨¦s), t¨¦rmino con el que se conoce a los grupos organizados de ciberdelincuentes mejor preparados. ¡°Esta campa?a, dirigida principalmente al sector tecnol¨®gico, pero tambi¨¦n al aeroespacial y al de defensa, es un claro recordatorio de la creciente amenaza que representan los infiltrados¡±.

El equipo de Meyers ha identificado al grupo o APT que consigui¨® ejecutar esa infiltraci¨®n: se llama Famous Chollima y es una pata de Lazarus, la palabra clave con la que se conoce a los hackers que operan desde Corea del Norte. Cuentan con recursos, con una estructura jerarquizada y est¨¢n muy organizados, lo que les permite elaborar ataques complejos, coordinados y veloces. Sus profesionales est¨¢n divididos en departamentos y desempe?an roles especializados. Est¨¢n patrocinados por el Gobierno del pa¨ªs asi¨¢tico, aunque las autoridades niegan oficialmente cualquier vinculaci¨®n con ellos, igual que hacen EE UU, Rusia, China o Israel con las APT con las que se les asocia.

¡°Famous Chollima explot¨® los procesos de contrataci¨®n e incorporaci¨®n de personal para obtener acceso f¨ªsico a trav¨¦s de sistemas en remoto, que se encontraban en ubicaciones intermediarias. Los infiltrados accedieron remotamente a estos sistemas para iniciar sesi¨®n en las VPN corporativas, haci¨¦ndose pasar por desarrolladores¡±, lee el informe de CrowdStrike. ¡°Este disfraz permiti¨® a Famous Chollima obtener un acceso profundo y duradero a docenas de organizaciones, lo que durante mucho tiempo result¨® casi imposible de detectar¡±.

Por motivos de confidencialidad, CrowdStrike no puede aportar m¨¢s datos acerca de las empresas infiltradas ni sobre las p¨¦rdidas en que pueden haber incurrido por culpa de esta intrusi¨®n. ¡°El Departamento de Justicia estima que estas acciones habr¨¢n reportado a los atacantes unos 6,8 millones de d¨®lares en dos a?os, pero creo que apenas estamos ara?ando la superficie de lo amplia que fue esta campa?a¡±, se?ala Meyers.

?Qu¨¦ tipo de informaci¨®n buscaban exactamente los cibercriminales norcoreanos? ¡°Datos que pudieran aportar valor a la Rep¨²blica Popular Democr¨¢tica de Corea, como inteligencia comercial sensible e informaci¨®n patentada de numerosas empresas tecnol¨®gicas¡±, a?ade el tejano. El laboratorio de Meyers cree que Famous Chollima presta apoyo al Departamento de la Industria de Municiones de Corea del Norte, que financia y supervisa los programas de misiles y armas norcoreanos. Probablemente, los robos de informaci¨®n estar¨¢n relacionados con ello.

El Departamento de Justicia tiene constancia de al menos 300 compa?¨ªas, entre las que se cuentan el centenar de tecnol¨®gicas detectadas por CrowdStrike, afectadas en los ¨²ltimos meses por este tipo de infiltraciones. El FBI public¨® en mayo un anuncio en el que alerta a las empresas p¨²blicas y privadas de esta tendencia, ofrece consejos para proteger los negocios de estas intrusiones y hace un llamamiento a que se comuniquen los casos conocidos.

Robar para mayor gloria del r¨¦gimen

La dificultad para rastrear la autor¨ªa de los ciberataques, que se pueden encubrir recurriendo a cadenas de servidores de otros pa¨ªses, lo convierten en un terreno especialmente abonado para las operaciones de inteligencia. Los pa¨ªses lo saben y, aunque ninguno lo reconoce, se sospecha que, quienes pueden hacerlo, financian y dan medios a grupos de hackers de ¨¦lite, las APT, para que lleven a cabo acciones que no puedan ser atribuibles a Gobierno alguno, evitando as¨ª incidentes diplom¨¢ticos.

El tipo de misiones encomendadas a estos grupos, a los que se les presupone una capacidad solo superada por los servicios secretos de las grandes potencias, suelen estar relacionados con la obtenci¨®n de informaci¨®n confidencial: espionaje industrial, sabotaje de planes de enriquecimiento de uranio, obtenci¨®n de documentos militares, etc.

La aproximaci¨®n de Corea del Norte es distinta. Sus equipos de hackers est¨¢n principalmente enfocados a obtener fondos para un r¨¦gimen que est¨¢ estrangulado por las sanciones internacionales. Uno de sus man¨¢s en los ¨²ltimos a?os est¨¢n siendo las criptomonedas. Microsoft alert¨® el viernes de que Citrine Sleet, un grupo de hackers norcoreano, hab¨ªa explotado una vulnerabilidad de d¨ªa cero (un fallo en alg¨²n programa desconocido por los propios desarrolladores) de Chromium, el navegador de c¨®digo abierto de Google, para entrar en varias organizaciones y robar criptomonedas, si bien se desconoce todav¨ªa la cantidad sustra¨ªda. El mayor robo digital del que se tiene constancia fue obra de un grupo amparado en el paraguas de Lazarus: se hicieron con unos 600 millones de euros en criptomonedas en 2022, a los que algunos especialistas le suman otros 400 sustra¨ªdos el a?o anterior. Un informe del Consejo de Seguridad de Naciones Unidas calcula que los norcoreanos han robado unos 3.000 millones de d¨®lares en criptomonedas desde 2017. Ese mismo panel estima que los fondos aportados por los grupos de hackers suponen la mitad de las divisas que llegan a Corea del Norte.

Seg¨²n cuenta la periodista Anna Fifield en su libro El gran sucesor (Capit¨¢n Swing, 2021), fue Kim Jong-un, nieto del fundador de la dinast¨ªa de dictadores, quien decidi¨® en 2009, cuando hered¨® las riendas del pa¨ªs, que el r¨¦gimen le pod¨ªa sacar mucho partido al ciberespacio. Dentro del pa¨ªs, el acceso a internet es testimonial; de fronteras afuera, sin embargo, la arena digital se interpreta como un potente instrumento para espiar, sabotear y robar sin apenas consecuencias. ¡°Los estudiantes que muestran posibles aptitudes [para la inform¨¢tica], algunos de tan solo 11 a?os, son enviados a escuelas especiales y luego a la Universidad de Automatizaci¨®n de Pyongyang¡±, donde ¡°a lo largo de cinco a?os se les ense?a a hackear sistemas y a crear virus inform¨¢ticos¡±, escribe Fifield.

La estrategia ha dado resultado. EE UU y Reino Unido, as¨ª como Microsoft, atribuyen a esta organizaci¨®n el lanzamiento en 2017 de WannaCry 2.0, el mayor ransomware de la historia: este virus inform¨¢tico secuestr¨® unos 300.000 ordenadores de 150 pa¨ªses, incluyendo los del sistema de salud de Reino Unido, y pidi¨® un rescate a cambio de su liberaci¨®n.

Dentro de Lazarus, las distintas divisiones persiguen objetivos diferentes. El equipo de Meyers distingue cinco facciones diferenciadas dentro de ese paraguas, que comparten hasta un repositorio de c¨®digo al que recurren para preparar sus ataques. Dos de ellas, Stardust Chollima y Labyrinth Chollima, est¨¢n exclusivamente dedicadas a la monetizaci¨®n. ¡°Creemos que Stardust Cholima pertenece a la Oficina 121, uno de los departamentos de la Oficina General de Reconocimiento¡±, nombre con el que se conoce a una de las agencias de espionaje norcoreanas. ¡°Est¨¢n muy enfocados en sistemas financieros, criptomonedas y nuevas tecnolog¨ªas¡±. Famous Chollima, la responsable de la filtraci¨®n de trabajadores, trabaja para el sistema armament¨ªstico norcoreano.

Otra pr¨¢ctica frecuente entre los hackers norcoreanos es tratar de meterse en el ordenador de sus colegas extranjeros para conocer lo ¨²ltimo en ciberseguridad. Aunque eso, al menos una vez, les sali¨® caro. En 2022, un a?o despu¨¦s de tratar de infectar el equipo de Alejandro C¨¢ceres, m¨¢s conocido por sus alias hacker P4x o _hyp3ri0n, este estadounidense tumb¨® como represalia internet durante una semana en todo el pa¨ªs asi¨¢tico. ¡°S¨¦ que lo que hice es ilegal, pero no me imaginaba a Corea del Norte llev¨¢ndome a juicio¡±, dijo a EL PA?S.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.