Corea del Norte está sacando provecho de una de las grandes tendencias de los últimos años en el entorno laboral: la implantación del teletrabajo. El régimen de Kim Jong-un ha colocado a miles de compatriotas como trabajadores en empresas de todo el mundo, según advierte el Departamento de Justicia de EE UU. Se trata además de empleados cualificados, sobre todo desarrolladores de software. ¿Cómo logran ser contratados en empresas norteamericanas sin que salten las alarmas? “Los norcoreanos usan identidades robadas o prestadas de ciudadanos estadounidenses para hacerse pasar por trabajadores nacionales, infiltrarse en los sistemas de empresas estadounidenses y recaudar ingresos para Corea del Norte”, señala el organismo.
Por EL PAÍS
Una investigación que presenta esta semana la empresa de ciberseguridad CrowdStrike, mundialmente famosa por haber propiciado hace un mes y medio una caída global de los sistemas de aquellos de sus clientes que también usaban Windows, ha revelado que un solo grupo de hackers norcoreanos consiguió entrar en más de un centenar de empresas estadounidenses, la mayoría del sector tecnológico o de las fintech y muchas de ellas incluidas en el ranking Fortune 500. Tras ser contratados como desarrolladores remotos, los hackers instalaban software malicioso en los sistemas de la compañía, ya fuera para hacerse con información sensible o para sacar rédito económico.
Irónicamente, fue el antivirus Falcon, cuya actualización chocó a mediados de julio con Windows y provocó el fundido a azul de millones de pantallas, el que detectó la intrusión. “Todo comenzó en abril de este año, cuando un cliente contactó a CrowdStrike tras ser alertado por las autoridades sobre una infiltración malicioso. Nuestro equipo de investigación de amenazas no solo determinó quién era el responsable, sino que también descubrió docenas de otras organizaciones afectadas”, explica a EL PAÍS Adam Meyers, responsable de inteligencia y operaciones contra ciberdelincuentes en CrowdStrike y experto en las llamadas APT (amenazas persistentes avanzadas, por sus siglas en inglés), término con el que se conoce a los grupos organizados de ciberdelincuentes mejor preparados. “Esta campaña, dirigida principalmente al sector tecnológico, pero también al aeroespacial y al de defensa, es un claro recordatorio de la creciente amenaza que representan los infiltrados”.
El equipo de Meyers ha identificado al grupo o APT que consiguió ejecutar esa infiltración: se llama Famous Chollima y es una pata de Lazarus, la palabra clave con la que se conoce a los hackers que operan desde Corea del Norte. Cuentan con recursos, con una estructura jerarquizada y están muy organizados, lo que les permite elaborar ataques complejos, coordinados y veloces. Sus profesionales están divididos en departamentos y desempeñan roles especializados. Están patrocinados por el Gobierno del país asiático, aunque las autoridades niegan oficialmente cualquier vinculación con ellos, igual que hacen EE UU, Rusia, China o Israel con las APT con las que se les asocia.
“Famous Chollima explotó los procesos de contratación e incorporación de personal para obtener acceso físico a través de sistemas en remoto, que se encontraban en ubicaciones intermediarias. Los infiltrados accedieron remotamente a estos sistemas para iniciar sesión en las VPN corporativas, haciéndose pasar por desarrolladores”, lee el informe de CrowdStrike. “Este disfraz permitió a Famous Chollima obtener un acceso profundo y duradero a docenas de organizaciones, lo que durante mucho tiempo resultó casi imposible de detectar”.
Por motivos de confidencialidad, CrowdStrike no puede aportar más datos acerca de las empresas infiltradas ni sobre las pérdidas en que pueden haber incurrido por culpa de esta intrusión. “El Departamento de Justicia estima que estas acciones habrán reportado a los atacantes unos 6,8 millones de dólares en dos años, pero creo que apenas estamos arañando la superficie de lo amplia que fue esta campaña”, señala Meyers.