Home Ciberguerra McAfee confirma la conexión de la Operación Sharpshooter con Corea del Norte

McAfee confirma la conexión de la Operación Sharpshooter con Corea del Norte

Expertos informaron que la campaña de la Operación Tiro al Blanco APT, descubierta en diciembre de 2018, es probablemente el trabajo de los piratas informáticos norcoreanos, y que ha estado activa durante un año más de lo que se pensaba.

McAfee ha revelado hoy que se le ha dado una visión poco común del funcionamiento interno de un grupo de este tipo, después de que una entidad gubernamental entregara código y datos de un servidor clave de mando y control (C&C).

Esto le ayudó a concluir que la campaña era más compleja, amplia y duradera de lo que se pensaba.

De hecho, se cree que comenzó en septiembre de 2017 y sigue activo en la actualidad, centrándose en las finanzas, el gobierno y los objetivos de infraestructura crítica, principalmente en Alemania, Turquía, el Reino Unido y los Estados Unidos.

McAfee reveló por primera vez su análisis de la Operación Sharpshooter en diciembre de 2018, afirmando que se dirigía a organizaciones gubernamentales, de defensa, nucleares, energéticas y financieras, infectando a 87 de ellas con un implante modular de puerta trasera conocido como Rising Sun.

Este malware, que permitió a los ciberdelincuentes, realizar reconocimientos y robos de información, código compartido de 2015 backdoor Trojan Duuzer, utilizado en el famoso ataque a Sony Pictures Entertainment llevado a cabo por hackers norcoreanos.

Sin embargo, inicialmente se sospechaba que los vínculos con Pyongyang podían haber sido una estrategia deliberada de falsa bandera.

Estas fueron descartadas por las nuevas pruebas, y el proveedor de seguridad ahora tiene aún más confianza en la conexión con el notorio Grupo Lazarus de la nación ermitaña. Por ejemplo, la campaña utiliza un señuelo de reclutamiento falso atribuido al grupo.

Esos correos electrónicos iniciales de phishing contienen un documento basado en macros que, si se abre, descargará encubiertamente el malware de la segunda fase de Rising Sun.

El grupo también está utilizando código personalizado escrito en PHP y ASP para mantener su infraestructura de C&C, y parece estar probando algunos implantes y técnicas en África antes de lanzarlos en otros lugares.

McAfee también describió el desarrollo de los componentes de Rising Sun como “de fábrica”, con módulos producidos independientemente fuera de la funcionalidad principal.

“Las pruebas técnicas a menudo no son suficientes para comprender a fondo un ataque cibernético, ya que no proporcionan todas las piezas del rompecabezas”, dijo Christiaan Beek, ingeniero principal senior y científico principal de McAfee.

La compañía estadounidense, explico, además, que el acceso al código del servidor C&C del adversario es una rara oportunidad. “Estos sistemas proporcionan información sobre el funcionamiento interno de la infraestructura de los ataques cibernéticos, suelen ser confiscados por los organismos encargados de hacer cumplir la ley y rara vez se ponen a disposición de los investigadores del sector privado. Los conocimientos adquiridos a través del acceso a este código son indispensables en el esfuerzo por comprender y combatir las campañas de ciberataque más prominentes y sofisticadas de la actualidad”.

Con información de: Info Security Magazine.