Nuevo grupo de piratas informaticos de Corea del Norte
Un equipo menos conocido de ciber-espionaje de Corea del Norte se ha vuelto mas activo en la escena internacional en 2017 después de pasar los últimos cinco años apuntando solo a agencias gubernamentales surcoreanas y desertores norcoreanos.
Un historial de las actividades del grupo, que han estado ocurriendo desde 2012, ha sido compilado en un informe publicado por la empresa estadounidense de ciberseguridad FireEye.
Hermano menor de Lazarus Group
El informe hace referencia al grupo por el nombre clave de APT37, pero otras compañías lo siguen como Group123 (Cisco Talos), FreeMilk (Palo Alto Networks) o StarCruft, Operation Daybreak, Operation Erebus (Kaspersky Lab).
El grupo ha sido muy activo, pero debido a que se enfocó principalmente en objetivos surcoreanos, no ha recibido la misma cantidad de cobertura de prensa que el grupo pirata informatico norcoreano Lazarus Group ha recibido.
El grupo amplía la actividad a objetivos internacionales
Pero Lazarus Group ahora tendra un rival para la cobertura de los medios, y la razón es que APT37 ha expandido sus operaciones para incluir objetivos extranjeros.
Los nuevos objetivos apuntados en 2017 y 2018 incluyen compañías y agencias gubernamentales en Japón, Vietnam y muchos países de Medio Oriente. FireEye dice que detectó ataques APT37 justo después de que los tratos comerciales entre Corea del Norte y las compañías en Vietnam y Medio Oriente se volvieran confusos.
APT37 vinculado a Corea del Norte con mucha seguridad
De hecho, todo el informe de FireEye se destaca porque la compañía de seguridad cibernética se puso en el registro público culpando a los funcionarios de Corea del Norte por apoyar al grupo.
"Evaluamos con alta confianza que esta actividad se lleva a cabo en nombre del gobierno de Corea del Norte", dice el informe de FireEye. "Juzgamos que la misión principal de APT37 es la recopilación secreta de inteligencia en apoyo de los intereses militares, políticos y económicos estratégicos de Corea del Norte".
"Esto se basa en la orientación constante de las entidades públicas y privadas de Corea del Sur y la ingeniería social", agrega la compañía. "El alcance de focalización recientemente ampliado de APT37 también parece tener relevancia directa para los intereses estratégicos de Corea del Norte".
Es bastante raro que una compañía de ciberseguridad sea tan audaz al atribuir hacks a un estado-nación tan facilmente. La razón por la cual FireEye quedó registrada con la atribución también se debe a los errores operacionales cometidos por los miembros de APT37.
Ademas, las fechas de compilación para las múltiples familias de malware creadas por el grupo también son consistentes con la zona horaria de Corea del Norte, mientras que la obsesión del grupo con los desertores de Corea del Norte y Corea del Norte dice mucho y confirma la declaración de atribución de FireEye.
APT37 ha creado una gran cantidad de malware personalizado
En el nivel técnico, el grupo tampoco se queda atras. A APT37 se le ha atribuido la creación de múltiples familias de malware en los últimos seis años. De hecho, fue APT37 detras del reciente Blowping Computer de Adobe Flash Player que escribió sobre el tema a comienzos de mes.
El informe de FireEye muestra una imagen bastante buena de cómo el grupo a menudo confió en las vulnerabilidades de Flash para infectar a los objetivos, y cómo variaban sus operaciones para diferentes objetivos.
APT37 creó varias familias de malware a través de los años, que van desde puertas traseras hasta limpiadores de datos. También utilizaron una infraestructura siempre cambiante, confiando en AOL Instant Messenger, pCloud y Dropbox para sus servidores de comando y control, y en spear-phishing, sitios web pirateados y archivos torrent para propagar sus cargas maliciosas.
Su arsenal de malware y explotación también es algo digno de contemplar, ya que el grupo esta detras de varias herramientas interesantes y bastante bien compiladas, tales como:
- CORALDECK: un infostealer que exfiltra datos de redes seguras como archivos protegidos con contraseña creados con WinRAR o WinImage.
- DOGCALL: una poderosa RAT, también conocida como ROKRAT.
- GELCAPSULE: un descargador de malware de primera etapa.
- HAPPYWORK: otro descargador de malware de primera etapa que puede descargar e instalar otro malware. Se ve principalmente en 2016.
- KARAE: un troyano de puerta trasera, pero también se utiliza como un programa de descarga de malware para otras cargas útiles. Utiliza proveedores de almacenamiento en la nube como sistemas C & C.
- MILKDROP: un iniciador que establece una clave de registro de persistencia y abre una puerta trasera.
- POORAIM: puerta trasera que usa AOL Instant Messenger como servidor de C & C. También puede filtrar datos.
- RICECURRY: un generador de perfiles basado en JavaScript que se utiliza para tomar huellas dactilares del navegador web de una víctima y entregar código malicioso mas adelante.
- RUHAPPY: un limpiador de datos que reescribe el MBR e imprime "¿Eres feliz?" en la pantalla. Usualmente se implementa con DOGCALL, pero nunca se usa.
- SHUTTERSPEED: un troyano de puerta trasera que también puede filtrar datos.
- SLOWDRIFT: un descargador de primera etapa y un iniciador para otro malware. También usa servicios basados en la nube como servidor de C & C.
- SOUNDWAVE: una utilidad de captura de audio basada en Windows.
- ZUMKONG: un descargador de credenciales dirigido a IE y Chrome.
- WINERACK: una puerta trasera que también crea un shell remoto.