Hackers norcoreanos vulneraron entidades de investigación del COVID-19

Hackers del estado-nación de Corea del Norte identificados como el Grupo Lazarus han comprometido recientemente diversas organizaciones. Han atacado a organizaciones involucradas en la investigación y el desarrollo de vacunas de COVID-19.

Para ello se infiltraron en las redes de una empresa farmacéutica y un ministerio de salud del gobierno en septiembre y octubre, respectivamente.

Después de ingresar en su red, los hackers estatales de Corea del Norte hicieron de las suyas. Estos desplegaron Bookcode (utilizado exclusivamente por Lazarus) y el malware wAgent con capacidades de puerta trasera.

Puertas traseras utilizadas para post-explotación

“Ambos ataques aprovecharon diferentes grupos de malware que no se superponen mucho”, dijo el experto en seguridad de Kaspersky Seongsu Park. Esto lo plasmó en un informe de APT.

“Sin embargo, podemos confirmar que ambos están conectados con el grupo Lazarus, y también encontramos superposiciones en el proceso de post-explotación”.

El payload final del ataque contra el ministerio de salud fue wAgent. Este es un malware diseñado para desplegar payloads adicionales desde el servidor de comando y control. Este incluye una puerta trasera persistente; puede subirlas en la memoria de los sistemas comprometidos.

En el ataque que tuvo lugar el 27 de octubre. El malware wAgent tenía “el mismo esquema de infección del malware que el grupo Lazarus utilizó anteriormente en ataques a negocios de criptomonedas“.

En el ataque dirigido a la compañía farmacéutica del 25 de septiembre, los operadores de Lazarus utilizaron el malware Bookcode. Usaron este malware para recopilar información del sistema, un “volcado de registro de sam que contiene hashes de contraseña” e información de Active Directory.

Aunque en el pasado los hackers desplegaron este malware en un ataque a la cadena de suministro y mediante spearphishing, en este caso fue diferente. El vector de ataque no fue descubierto.

Kaspersky no reveló la identidad de la compañía farmacéutica comprometida en estos ataques, pero sí compartió que está involucrada en el desarrollo de una vacuna COVID-19 y que también está “autorizada para producir y distribuir vacunas COVID-19”.

Vacunas

Si bien hay varias vacunas contra COVID-19 en desarrollo en este momento, solo las desarrolladas por estas organizaciones han alcanzado el estado de autorización/aprobación. Estas han sido aprobadas en los Estados Unidos, El Reino Unido, Rusia, China y otros países (por lo tanto, el objetivo debe estar entre ellos):

  • Pfizer-BioNTech
  • Moderna, Sinovac
  • el Instituto de Productos Biológicos de Wuhan
  • Instituto de Investigación Gamaleya
  • el Instituto de Productos Biológicos de Beijing
  • el Centro de Investigación Estatal de Virología y Biotecnología de la Institución Federal de Investigación Presupuestaria de Rusia

“Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19”, agregó Park.

“Si bien el grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede buscar investigación estratégica.

“Creemos que todas las entidades que actualmente participan en actividades como la investigación de vacunas o el manejo de crisis deben actuar proactivamente. Deben estar en alerta máxima de ciberataques”.

Investigación de COVID-19 en el primer lugar de múltiples listas de objetivos

Desde el comienzo de la pandemia, la inteligencia que podría acelerar el desarrollo de la vacuna COVID-19 ha estado bajo el objetivo de hackers. Las investigaciones han estado en la mira los actores de amenazas patrocinados por estados.

Por ejemplo, las organizaciones de investigación de vacunas de Canadá, Reino Unido y Estados Unidos han sido blanco de varios ataques coordinados. Estas han sido atacadas por el grupo de hacking APT29 patrocinado por el estado ruso durante todo el año.

Los actores de amenazas vinculados a la República Popular China (PRC) también han estado involucrados en ataques similares. Esto tal como lo revelaron el FBI y el DHS-CISA en un anuncio conjunto de servicio público.

Microsoft también ha incautado dominios utilizados en delitos cibernéticos relacionados con COVID-19.  Y, advirtió esta semana sobre esquemas de fraude emergentes en los que los estafadores explotan el interés del público en la vacuna contra el COVID-19. Esto para recolectar información personal y robar dinero.

A principios de este mes, los actores de amenazas también atacaron a organizaciones involucradas en la investigación de COVID-19. Los ciberdelincuentes atacaron la Agencia Europea de Medicamentos (EMA) y la Comisión de la UE. También atacaron a organizaciones vinculadas a la cadena de frío de la vacuna COVID-19 que involucran su almacenamiento y entrega a temperaturas seguras.

Deja un comentario