Se espera que los actores de amenazas norcoreanos lancen ataques inminentes destinados a robar fondos de «organizaciones con acceso a grandes cantidades de activos o productos relacionados con criptomonedas», advierte el FBI, y agrega que los ataques utilizarán tácticas de ingeniería social particularmente engañosas, incluidas las altamente personalizadas. orientación que parecerá extremadamente convincente.
En los últimos meses, funcionarios federales han observado a varios actores patrocinados por el estado de la RPDC realizando investigaciones sobre objetivos relacionados con fondos cotizados en bolsa (ETF) de criptomonedas. El reconocimiento parece ser de naturaleza preoperacional, dijo la agencia en un anuncio de servicio público publicado ayer.
Los ataques inminentes, que pueden incluir tanto el robo de criptomonedas como la implementación de malware, probablemente se llevarán a cabo de forma sigilosa, incluidas conversaciones aparentemente inocuas con personas que hablan inglés con fluidez y parecen tener verdaderas razones comerciales para contactarlos, u oportunidades laborales para los empleados. Es probable que los atacantes también jueguen a largo plazo, tomándose el tiempo para cultivar una relación personal antes de hacer algo malicioso, dijo la agencia.
De hecho, Corea del Norte avanzó amenazas persistentes (APT) como Lazarus y kimsuky son particularmente expertos en el uso de la ingeniería social para robar criptomonedas en campañas amenazadoras destinadas a recaudar fondos para apoyar la programa nuclear del país así como otros esfuerzos del líder supremo de Corea del Norte, Kim Jong Un. De hecho, las Naciones Unidas estiman que. Los atacantes norcoreanos robaron hasta ahora hasta 3.000 millones de dólares en criptomonedas en ataques dirigidos de este tipo.
En estas campañas, los actores patrocinados por el Estado se hacen pasar convincentemente por reclutadores y cazatalentos para dirigirse a empleados de diferentes sectores e incluso solicitar y, en ocasiones, conseguir un trabajo. ser contratado para trabajos en empresas estadounidenses para participar en actividades maliciosas.
Esta nueva ola de ataques podría ser incluso más difícil de detectar que las anteriores, lo que requeriría vigilancia por parte de los empleados de las empresas de cifrado para detectar incluso actividades levemente sospechosas, dijo el FBI. «Dada la escala y la persistencia de esta actividad maliciosa, incluso aquellos familiarizados con las prácticas de ciberseguridad pueden ser vulnerables a la determinación de Corea del Norte de comprometer las redes conectadas a activos de criptomonedas» según la advertencia.
Ingeniería social para observar
Según el FBI, los atacantes probablemente utilizarán variaciones de tres áreas clave de la ingeniería social antes incluso de intentar participar en una actividad tecnológicamente maliciosa. La idea es ganarse la confianza de los empleados de las empresas de cifrado para que puedan acceder a las cuentas, sistemas u otros activos de sus respectivas empresas de una manera que no despierte sospechas.
En primer lugar, pueden realizar una investigación en profundidad para identificar DeFi específico o negocios relacionados con criptomonedas a los que apuntar, y hacer su tarea con los empleados revisando su actividad en las redes sociales, particularmente tal como aparece en redes profesionales o negocios relacionados con el empleo, dijo la agencia.
Armados con esta información, los atacantes pasarán a la siguiente fase de la artimaña, con escenarios individualizados falsos que explotan «datos personales sobre los antecedentes, habilidades, empleo o intereses comerciales de la víctima para crear escenarios con imágenes ficticias personalizadas diseñadas para ser particularmente atractivas para la persona objetivo”, según la advertencia.
Podrían ser ofertas de nuevos empleos o de inversiones comerciales que se basan en los datos personales de los empleados y, por lo tanto, apelan a sus intereses o emociones, estableciendo así una relación de confianza que se ve reforzada por conversaciones prolongadas destinadas a establecer una relación amistosa.
Una tercera táctica utilizada por los atacantes es hacerse pasar por personas que la víctima puede conocer personal o indirectamente, como un reclutador en un sitio de networking profesional o una personalidad distinguida en un campo tecnológico relacionado. Estos robos de identidad pueden ir acompañados del uso de fotografías robadas en perfiles de redes sociales o sitios web profesionales.
Fase final: actividad cibernética maliciosa
Una vez que se solidifique la relación social entre el atacante norcoreano y la víctima, los actores de amenazas harán solicitudes u ofertas que eventualmente conducirán a la implementación de malware o al robo de criptomonedas.
Estas incluyen solicitudes para ejecutar código o descargar aplicaciones en dispositivos que tienen acceso a la red interna de una empresa, o para realizar una prueba previa al empleo o un ejercicio de depuración que implique la ejecución de paquetes Node.js, paquetes PyPI, scripts o scripts no estándar o desconocidos. repositorios de GitHub.
Los atacantes también pueden insistir en utilizar software no estándar o personalizado para realizar tareas simples que se logran fácilmente usando aplicaciones comunes, como videoconferencias, con el fin de introducir malware de contrabando en la red de una organización. También pueden solicitar trasladar conversaciones laborales a otras plataformas o aplicaciones de mensajería con un propósito similar, o enviar enlaces o archivos adjuntos que oculten malware a empleados específicos en relación con una comunicación previamente establecida.
Medidas de mitigación contra el robo de criptomonedas en la RPDC
A pesar de la sofisticación de las tácticas, las empresas que puedan ser blanco de ataques pueden tomar varias medidas para mitigar sus riesgos, dijo el FBI. Esto incluye el desarrollo de sus propios métodos internos para verificar la identidad de un contacto utilizando plataformas de comunicación separadas y no conectadas (como una videollamada en vivo en una aplicación de mensajería diferente a la utilizada por el atacante potencial).
Las empresas también deben tener cuidado de no almacenar información de billeteras de criptomonedas (nombres de usuario, contraseñas, ID de billeteras, frases clave, claves privadas, etc.) en dispositivos conectados a Internet, donde es vulnerable. Los empleados también deben evitar realizar pruebas previas al empleo o ejecutar código durante cualquier proceso de contratación en computadoras portátiles o dispositivos propiedad de la empresa.
Exigir múltiples factores de autenticación y aprobación de varias redes diferentes no conectadas antes de transferir activos financieros a alguien también es una buena práctica que puede ayudar a cualquier organización a evitar ser defraudada por actores informados patrocinados por el estadosegún el FBI.