Instituciones académicas mexicanas atacadas por hackers norcoreanos

Organizaciones de todo el mundo han sido atacadas desde mayo pasado

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan que grupos de hackers vinculados a Corea del Norte han desplegado una campaña de spear phishing contra múltiples instituciones académicas de todo el mundo. La campaña de ataque incluye correos electrónicos con un documento adjunto, tratando de engañar a las víctimas para que instalen una extensión maliciosa de Chrome. Esta campaña ha sido identificada como Stolen Pencil, y entre sus víctimas se encuentran universidades con especialidades en ingeniería biométrica.

Los atacantes aseguran la persistencia de la campaña mediante el uso de herramientas estándar, pero acorde a reportes de especialistas en forense digital, su seguridad operacional es deficiente, pues se ha concluido que los atacantes usan teclados coreanos, navegadores abiertos y traductor inglés-coreano.

Acorde al análisis publicado por los expertos todavía no es posible determinar cuál es el objetivo principal de esta campaña, aunque agregan que este grupo de actores maliciosos es especialista en el robo de credenciales de acceso. “Las víctimas potenciales reciben un correo de phishing que los redirige a un sitio web; posteriormente, el atacante tratará de que la víctima descargue una extensión de Chrome maliciosa”, mencionaron los expertos.

“Una vez que se concreta el ataque, los actores maliciosos tratan de ganar persistencia en el sistema de la víctima usando herramientas como el Protocolo de Escritorio Remoto (RDP) y mantener el acceso”, afirma el reporte.

La extensión maliciosa carga JavaScript desde un sitio distinto. Esta extensión permite a los atacantes acceder a los datos de todos los sitios web que la víctima visita, por lo que los expertos deducen que los hackers tratan de robar cookies y contraseñas desde el navegador.

Acorde al reporte de los expertos en forense digital, no ha sido empleado ningún malware durante la campaña Stolen Pencil, sino que se ha recurrido al uso de RPD para acceder a los registros de las víctimas. Además, los expertos han encontrado evidencias de acceso remoto a los sistemas comprometidos a diario.

Los investigadores también descubrieron un archivo ZIP que contiene herramientas para escaneo de puertos, volcado de memoria y contraseñas y otras tareas de hacking. Entre las herramientas encontradas están KPortSca, PsExec, el conjunto de exploits Eternal, y herramientas como Network Password Recovery, Remote Desktop PassView, SniffPass y WebBrowserPassView.

Es probable que esta campaña solamente sea una pequeña muestra del alcance de las actividades de este grupo de hackers. Después de analizar los métodos y herramientas empleadas por estos actores maliciosos, los expertos han concluido que los ataques son de origen norcoreano.

“Si bien pudimos obtener información sobre las herramientas, técnicas y procedimientos de los hackers detrás de la campaña Stolen Pencil, es claro que este es sólo un pequeño vistazo de sus actividades. A pesar de su amplio alcance, estos hackers recurren a técnicas relativamente simples y explotan herramientas que se ya encuentran en los sistemas atacados; como suele decirse en el campo de la ciberseguridad, estos atacantes ‘viven de la tierra’”, mencionan los expertos.