Home Ciberguerra Ciberatacantes norcoreanos falsifican correos electrónicos de periodistas para espiar a expertos en...

Ciberatacantes norcoreanos falsifican correos electrónicos de periodistas para espiar a expertos en políticas

Piratas informáticos norcoreanos están explotando políticas débiles de correo electrónico para falsificar dominios legítimos durante campañas de phishing de espionaje, advirtió un nuevo aviso del gobierno de EE. UU.

Varias agencias federales, incluidos el FBI, la NSA y el Departamento de Estado, publicaron un aviso esta semana advirtiendo que los piratas informáticos dentro de la operación Kimsuky están apuntando a políticas de registros de autenticación, informes y conformidad de mensajes basados en dominios DNS (DMARC) configuradas incorrectamente.

DMARC, que tiene más de una década, es una herramienta de seguridad utilizada por las plataformas de correo electrónico para autenticar mensajes y hacer que los dominios populares no puedan ser falsificados. Las implementaciones exitosas de DMARC bloquean los correos electrónicos maliciosos que intentan parecer que provienen de organizaciones verificadas. Dependiendo de la configuración, un correo electrónico que no pase una prueba de legitimidad puede marcarse como spam o bloquearse.

Según las agencias, los piratas informáticos norcoreanos están apuntando a configuraciones DMARC configuradas incorrectamente para que parezca que sus correos electrónicos provienen de un intercambio de correo electrónico de un dominio legítimo, lo que les permite hacerse pasar por expertos o académicos con vínculos creíbles con los círculos políticos de Corea del Norte. La campaña seguida por las agencias se desarrolló desde finales de 2023 hasta principios de 2024.

En un ejemplo incluido en el aviso, se ofrece a la víctima una tarifa de orador como una forma de lograr que abra el correo electrónico. Algunos correos electrónicos muestran evidencia de que los piratas informáticos norcoreanos pudieron obtener acceso al cliente de correo electrónico legítimo de una universidad para enviar el correo electrónico.

Pero la mayoría de los otros correos electrónicos falsificaron el nombre de un periodista legítimo y un dominio de correo electrónico real, pero aún así pudieron ingresar a una bandeja de entrada debido a que una organización no tenía ninguna política DMARC.

“Corea del Norte aprovecha estas campañas de phishing para recopilar inteligencia sobre eventos geopolíticos, estrategias de política exterior del adversario y cualquier información que afecte los intereses de Corea del Norte al obtener acceso ilícito a documentos privados, investigaciones y comunicaciones de los objetivos”, dijeron las agencias.

Kimsuky es un grupo de piratas informáticos que las agencias policiales creen que opera desde el 63º Centro de Investigación dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte. El objetivo del grupo es seguir “proporcionando datos robados y conocimientos geopolíticos valiosos al régimen norcoreano comprometiendo a analistas políticos y otros expertos”.

Los piratas informáticos dedican tiempo a investigar a las víctimas y a adaptar los correos electrónicos de phishing para que “parezcan más realistas y atractivos para sus objetivos”. A menudo utilizan contenido de correos electrónicos de cuentas de correo electrónico previamente comprometidas para mejorar la aparente autenticidad de sus correos electrónicos falsificados, según las agencias estadounidenses.

Si alguien sospecha de un correo electrónico y revisa la sección “responder a”, todavía parecerá provenir de un dominio legítimo.

Cualquier persona en EE. UU. o Corea del Sur que trabaje en asuntos de Corea del Norte, Asia, China y/o el sudeste asiático debe estar atento a los correos electrónicos, en particular funcionarios gubernamentales y miembros militares.

El aviso advierte a las personas que tengan cuidado con los correos electrónicos con comunicaciones iniciales inofensivas seguidas de enlaces extraños o documentos adjuntos de diferentes direcciones de correo electrónico.

Los actores norcoreanos han sido acusados durante mucho tiempo de hacerse pasar por periodistas e investigadores en un esfuerzo por entrar en los sistemas de las organizaciones. SentinelLabs publicó un informe en enero destacando una campaña dirigida a expertos en asuntos norcoreanos del sector académico de Corea del Sur, así como una organización de noticias centrada en Corea del Norte, dijo SentinelLabs.