Los ciberdelincuentes utilizan una falla reparada para entrar en una empresa vinculada al ejército
Los ciberdelincuentes de Corea del Norte supuestamente piratearon la red de una empresa de ingeniería vinculada a organizaciones militares y energéticas, según el sitio web ZDNet. Aprovecharon una falla de seguridad cibernética en Log4j, una biblioteca de registro de Java ampliamente utilizada por los desarrolladores.
- ¿Qué son los crackers y los hackers? ¿Cuál es la diferencia entre ellos y cómo combatirlos?
- Americanas sufre pérdidas de casi R$ 1 mil millones con ataque de hacker
Detallada por primera vez en diciembre, la vulnerabilidad CVE-2021-44228 permite a los atacantes ejecutar de forma remota código malicioso y obtener acceso a PCs usando Log4j. Algunas empresas y entidades ya habían adoptado protecciones contra fallas, pero otras aún estaban expuestas, como fue el caso de esta empresa de ingeniería, que no fue nombrada.
Cómo actuaron los ciberdelincuentes de Corea del Norte
Según los investigadores de la firma de seguridad cibernética Symantec, la violación de la empresa objetivo ocurrió cuando los ciberdelincuentes explotaron una violación en un servidor VMware View público en febrero de este año. A partir de ahí, los delincuentes pudieron actuar en la red interna de la empresa y comprometer al menos 18 PCs. VMware ya había lanzado una solución para esta falla desde diciembre del año pasado, con una actualización en abril de este año.
–
CT en Flipboard: ahora puedes suscribirte gratis a las revistas de TecnoBreak en Flipboard en iOS y Android y seguir todas las noticias en tu agregador de noticias favorito.
–
El análisis de Symantec sugiere que el ataque coordinado fue llevado a cabo por una organización llamada Stonefly, también conocida como DarkSeoul, BlackMine, Operation Troy y Silent Chollima, que es un grupo de espionaje que trabaja en Corea del Norte.
Otros investigadores creen que Stonefly, que existe desde 2009, tiene vínculos con Lazarus, la operación ciberdelincuente más conocida de Corea del Norte. Sin embargo, este último grupo se enfoca en robar dinero y criptomonedas, mientras que Stonefly se especializa en espionaje y ataques dirigidos contra objetivos de inteligencia, incluidos los sectores energético, aeroespacial y militar.
Una de las formas en que trabaja el grupo es desplegar códigos que roban contraseñas y malware de tipo troyano (un caballo de Troya, es decir, que se disfraza de programas inofensivos) en redes que han visto comprometida su seguridad. En el caso de la empresa de ingeniería, el primer virus se instaló en la red a las pocas horas de la intrusión inicial.
Una de las herramientas implementadas en el incidente fue una versión actualizada del malware. puerta trasera Preft, que se presentó por etapas. Cuando se ejecuta por completo, se convierte en una herramienta capaz de descargar y cargar archivos e información de las máquinas, así como desinstalarse cuando ya no se necesita. Stonefly también envió un programa de robo de información personalizado para actuar como una forma alternativa de fuga de datos.
Lea el artículo sobre TecnoBreak.
Tendencia en TecnoBreak:
- La verdadera historia del cuerpo preservado del «masturbador de Pompeya»
- Rover Perseverance encuentra pedazo de ‘basura plateada’ en Marte
- Descubre 10 de las ciudades más antiguas del mundo
- ¿Cuántos litros de gasolina tienes en el tanque de tu auto?
- ¿Cuál es el mejor celular para fotos de menos de R$ 1.500?
