¿Cómo los hackers norcoreanos utilizaron LinkedIn y la ingeniería social para robar 3.400 millones de dólares en criptomonedas?

Autor: Eric Johansson y Tyler Pearson, DL News

Compilado por: Félix, PANews

Los piratas informáticos norcoreanos robaron al menos 3.400 millones de dólares en criptomonedas, en parte a través de ataques a LinkedIn.

La cifra de 3.400 millones de dólares es la cantidad total de ataques de piratería relacionados con el Grupo Lazarus de Corea del Norte desde 2007, incluido el ataque de 2022 a Horizon, el puente de cadena cruzada de activos entre Ethereum y Harmony, con una pérdida de aproximadamente 100 millones de dólares. El robo de billetera Atomic de 2023 por valor de más de $ 35 millones y el ataque de ransomware WannaCry de 2017.

"El Grupo Lazarus ha sido una importante fuente de ingresos para el régimen norcoreano", dijo Hugh Brooks, director de operaciones de seguridad de la empresa blockchain CertiK.

Lo que quizás sea menos conocido es cómo los piratas informáticos utilizan plataformas de reclutamiento como LinkedIn para realizar ingeniería social* (Nota: la ingeniería social se refiere a un tipo de intrusión que no es puramente tecnología informática. Se basa principalmente en la interacción y comunicación entre humanos y, por lo general, Implica y utiliza el engaño a otros para subvertir los procesos de seguridad normales para lograr los objetivos del atacante, que pueden incluir obtener información específica que el atacante desea)* y ataques de phishing.

La "Operación In(ter)cepción" lanzada por bandas de ciberdelincuentes en 2019 es un claro ejemplo.

Según la empresa de ciberseguridad ESET, Lazarus Group apunta a empresas militares y aeroespaciales en Europa y Oriente Medio, publicando anuncios de empleo en LinkedIn y otras plataformas para engañar a los solicitantes de empleo, exigiéndoles que descarguen archivos PDF con archivos ejecutables integrados en un ataque digital.

Tanto los ataques de ingeniería social como los de phishing intentan utilizar la manipulación psicológica para engañar a las víctimas para que bajen la guardia y adopten comportamientos que comprometan la seguridad, como hacer clic en un enlace o descargar un archivo. Su malware permite a los piratas informáticos atacar las vulnerabilidades de los sistemas de las víctimas y robar información confidencial.

Lazarus Group utilizó métodos similares durante una operación de seis meses contra el proveedor de pagos en criptomonedas CoinsPaid, que resultó en el robo de 37 millones de dólares el 22 de julio de este año.

CoinsPaid reveló que en marzo de este año, los ingenieros de CoinsPaid recibieron una lista de preguntas sobre infraestructura técnica de una llamada "startup ucraniana de procesamiento de cifrado". En junio y julio, los ingenieros recibieron ofertas de trabajo falsas. El 22 de julio, un empleado pensó que estaba en una entrevista para un trabajo lucrativo y descargó el malware como parte de una llamada prueba técnica.

Anteriormente, el grupo de hackers había pasado 6 meses aprendiendo sobre CoinsPaid, incluidos todos los detalles posibles, como los miembros del equipo y la estructura de la empresa. Cuando el empleado descargó el código malicioso, el pirata informático pudo acceder a los sistemas de CoinsPaid y luego explotar la vulnerabilidad del software para falsificar con éxito solicitudes de autorización y retirar fondos de la billetera activa de CoinsPaid.

Durante todo el ataque, los piratas informáticos lanzaron ataques técnicos como denegación de servicio distribuido* (Nota: el ataque de denegación de servicio distribuido se conoce como DDoS. Esta forma de ataque de red intenta inundar un sitio web o recursos de red con tráfico malicioso, lo que provoca que el sitio web o Los recursos de la red se vuelven inoperables. Funcionamiento normal. En un ataque de denegación de servicio distribuido (DDoS), el atacante envía cantidades masivas de tráfico de Internet que en realidad no es necesario, agotando los recursos del objetivo y provocando que el tráfico normal no llegue a su destino previsto. destino)*, y un tipo de ataque conocido como estrategia de fuerza bruta: envíe su contraseña varias veces con la esperanza de adivinarla correctamente.

El grupo también es conocido por explotar ataques de día cero* (Nota: las vulnerabilidades de día cero o vulnerabilidades de día cero generalmente se refieren a vulnerabilidades de seguridad que aún no han sido parcheadas, mientras que los ataques de día cero o día cero se refieren a ataques que explotan tales vulnerabilidades. Proporcione esto Los detalles de la vulnerabilidad o la persona que explota el programa suelen ser los descubridores de la vulnerabilidad. El programa de explotación de vulnerabilidades de día cero representa una gran amenaza para la seguridad de la red. Por lo tanto, las vulnerabilidades de día cero no son solo El favorito de los piratas informáticos, pero también el número de vulnerabilidades de día cero dominadas se ha convertido en un factor para evaluar el nivel técnico de los piratas informáticos (un parámetro importante)* y desplegar malware para robar fondos, realizar espionaje y sabotaje general.

En 2019, el Departamento del Tesoro de Estados Unidos sancionó al Grupo Lazarus, vinculándolo oficialmente con espías del Servicio de Reconocimiento de Corea del Norte. El Departamento del Tesoro de Estados Unidos también cree que el grupo financia los programas de armas nucleares de los estados terroristas.

Lectura relacionada: “Hacker norcoreano” entrevista a un ingeniero de blockchain: “El mundo verá grandes resultados en mis manos”