Una empresa aeroespacial española, atacada por hackers pro-Corea del Norte usando a empleados que querían trabajar para Meta

Un falso reclutador les remitió dos ejecutables troyanizados que supuestamente eran retos de programación para entrar en el proceso de selección

Korea
3 comentarios Facebook Twitter Flipboard E-mail

Un reciente informe publicado por los investigadores de la compañía de ciberseguridad ESET ha sacado a la luz un grave ciberataque perpetrado contra una empresa española del sector aeroespacial (cuyo nombre no se ha revelado). Detrás de este ataque, que tuvo lugar el año pasado —aunque no se había difundido hasta hoy— se encuentra el grupo Lazarus, un grupo de cibercriminales que lleva en activo desde 2009 y que está vinculado a Corea del Norte.

El objetivo del ataque fue, como era previsible, el del ciberespionaje. Pero el modus operandi resulta destacable por la herramienta utilizada en primera instancia: LinkedIn. Efectivamente, un miembro del grupo de ciberdelincuentes se hizo pasar en esta red social profesional por un reclutador de Meta (la empresa matriz de Facebook y WhatsApp) para contactar con empleados de la compañía española.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse
Reclutador Conversación inicial entre el falso reclutador de Meta y el empleado de la empresa española. Imagen: ESET
El grupo Lazarus —también conocido como Hidden Cobra— ha estado implicado en estos 14 años tanto en actividades ciberespionaje y cibersabotaje, como en la búsqueda de beneficios económicos

A través de LinkedIn Messaging, este falso reclutador envió a las víctimas dos desafíos de programación, que se presentaban como parte de un proceso de selección que permitiría a los contactados sumarse a la plantilla de Meta. El objetivo oficial de dichos 'desafíos' (un básico 'Hola, Mundo!', y un generador de la secuencia de Fibonacci) consistía en que el aspirante al puesto comprendiera la lógica del programa y lo reescribiera en el lenguaje de programación C++.

Desafio Generador de la secuencia de Fibonacci. Imagen: ESET

¿El verdadero objetivo? Que los desafíos (ejecutables) fueran descargados y ejecutados en ordenadores… de la empresa aeroespacial. Así, servirían como señuelo para la instalación de malware en los sistemas de la empresa.

Dicho malware incluía una herramienta denominada 'LightlessCan', un troyano de acceso remoto (RAT) que representa una evolución significativa en comparación con su predecesor 'BlindingCan', pues permite una ejecución discreta y sigilosa dentro del sistema afectado al imitar las funcionalidades de comandos nativos de Windows, lo que dificulta su detección.

Como indicador de que este ataque era mucho más elaborado de lo que parecía a primera vista, los investigadores detectaron el uso de mecanismos de protección destinados a garantizar que el payload sólo pudiera descifrarse en la máquina de la víctima objetivo, dificultando aún más la labor de los expertos en ciberseguridad.

El objetivo final de este malware de Lazarus, una vez estuviera instalado en el equipo de la víctima, era la realización de funciones de ciberespionaje, algo común en los grupos APT (de Amenazas Persistentes Avanzadas) alineados con Corea del Norte, debido a su búsqueda de tecnología y conocimientos aeroespaciales.

El informe de ESET también señala que se presentarán más hallazgos sobre este ataque en la conferencia Virus Bulletin el 4 de octubre de 2023.

Vía | ESET

Imagen | Marcos Merino mediante IA

En Genbeta | Exdirectora del MI5: el ciberespionaje está dificultando la labor de las agencias de inteligencia

Comentarios cerrados
Inicio