Home Ciberguerra Grupos de ciberdelincuentes de la RPDC, viola a contratistas de defensa surcoreanos

Grupos de ciberdelincuentes de la RPDC, viola a contratistas de defensa surcoreanos

La Agencia Nacional de Policía de Corea del Sur emitió una advertencia urgente sobre los grupos de ciperpiratas norcoreanos que tienen como objetivo entidades de la industria de defensa para robar información tecnológica valiosa.

La policía descubrió varios casos de violaciones exitosas de empresas de defensa en Corea del Sur que involucraban a los grupos de piratería Lazarus, Andariel y Kimsuky, todos parte del aparato de piratería de Corea del Norte.

Según el anuncio, los atacantes violaron las organizaciones aprovechando las vulnerabilidades en los entornos de los objetivos o de sus subcontratistas para plantar malware capaz de filtrar datos.

La Agencia Nacional de Policía y la Administración del Programa de Adquisiciones de Defensa llevaron a cabo una inspección especial a principios de este año entre el 15 de enero y el 16 de febrero e implementaron medidas de protección para proteger las redes críticas.

Esta operación especial descubrió varias empresas que habían sido comprometidas desde finales de 2022 pero que no estaban al tanto de la infracción hasta que las autoridades les informaron.

El informe policial destaca tres casos que involucran a cada uno de los grupos de piratería mencionados y muestran métodos de ataque multifacéticos destinados a robar tecnología de defensa.

Los piratas informáticos de Lazarus explotaron sistemas de conexión de red mal gestionados y diseñados para realizar pruebas y penetraron en las redes internas de una empresa de defensa desde noviembre de 2022.

Después de infiltrarse en la red, recopilaron datos críticos almacenados en al menos seis de las computadoras de la empresa y los transfirieron a un servidor en la nube en el extranjero.

El segundo ataque fue atribuido al grupo Andariel, que robó información de la cuenta de un empleado de una empresa de mantenimiento que prestaba servicios a subcontratistas de defensa.

Utilizando esta cuenta robada en octubre de 2022, instalaron malware en los servidores de estos subcontratistas, lo que provocó importantes filtraciones de datos técnicos relacionados con la defensa.

Esta infiltración en la red se vio exacerbada aún más por el hecho de que los empleados utilizaron las mismas contraseñas para cuentas personales y laborales.