Un grupo de piratas informáticos respaldado por el Gobierno de Corea del Norte penetró en una empresa estadounidense de gestión informática y la utilizó como trampolín para atacar a empresas de criptomonedas, según dos fuentes familiarizadas con el tema.
Los piratas informáticos irrumpieron en JumpCloud, con sede en Louisville (Colorado), a finales de junio y utilizaron su acceso a los sistemas de la empresa para atacar a sus clientes de empresas de criptomoneda en un intento de robar dinero digital, dijeron las fuentes.
El ataque muestra cómo los ciberespías norcoreanos, que antes se contentaban con atacar a empresas de criptomonedas de una en una, ahora atacan a empresas que pueden darles acceso a múltiples fuentes de bitcóin y otras monedas digitales.
JumpCloud, que reconoció el hackeo en un blog la semana pasada y lo atribuyó a un “sofisticado actor de amenazas patrocinado por un Estado-nación”, no respondió a las preguntas de Reuters sobre quién estaba detrás del hackeo y qué clientes se vieron afectados.
Un portavoz de JumpCloud dijo que menos de cinco clientes se habían visto afectados. Reuters no pudo determinar si finalmente se robó alguna moneda digital como resultado del ataque.
La empresa de ciberseguridad CrowdStrike Holdings, que colabora con JumpCloud en la investigación de la brecha, confirmó que “Labyrinth Chollima” -nombre que da a un grupo concreto de piratas informáticos norcoreanos- estaba detrás de la brecha.
El Vicepresidente Senior de Inteligencia de CrowdStrike, Adam Meyers, declinó hacer comentarios sobre lo que buscaban los hackers, pero señaló que tenían antecedentes de tener como objetivo criptomonedas.
“Uno de sus principales objetivos ha sido generar ingresos para el régimen”, afirmó.
La misión de Pionyang ante las Naciones Unidas en Nueva York no respondió inmediatamente a una solicitud de comentarios.
Corea del Norte ha negado anteriormente haber organizado robos de moneda digital, a pesar de las numerosas pruebas -incluidos informes de la ONU- que demuestran lo contrario.
Una investigación independiente respaldó la acusación de CrowdStrike.
El investigador de ciberseguridad Tom Hegel, que no participó en la investigación, dijo a Reuters que la intrusión en JumpCloud era la última de varias brechas recientes que mostraban cómo los norcoreanos se han convertido en expertos en “ataques a la cadena de suministro”.
Se trataría de hackeos elaborados que funcionan comprometiendo proveedores de software o servicios para robar datos -o dinero- de los usuarios que siguen en la cadena.
“En mi opinión, Corea del Norte está intensificando su juego”, afirma Hegel, que trabaja para la empresa estadounidense SentinelOne.
La agencia estadounidense de vigilancia cibernética CISA y el FBI declinaron hacer comentarios.
Labyrinth Chollima es uno de los grupos de piratas informáticos más prolíficos de Corea del Norte y se dice que es responsable de algunas de las intrusiones cibernéticas más atrevidas y perturbadoras del aislado país. Sus robos de criptomonedas han provocado la pérdida de cuantiosas sumas.
La empresa de análisis de cadenas de bloques Chainalysis afirmó el año pasado que grupos vinculados a Corea del Norte robaron aproximadamente mil 700 millones de dólares en efectivo digital a través de múltiples hackeos.
En un comunicado enviado a Reuters tras la publicación de este artículo, Mandiant, una empresa estadounidense de ciberseguridad propiedad de Google, dijo que actualmente estaban ayudando a una “víctima descendente” de JumpCloud y que también habían determinado que los hackers responsables trabajaban para la Oficina General de Reconocimiento (RGB) de Corea del Norte, la principal agencia de inteligencia exterior del país.
Meyers, de CrowdStrike, señaló que no hay que subestimar a las brigadas de piratas informáticos de Pionyang. “No creo que sea la última vez que veamos ataques norcoreanos a la cadena de suministro este año”, afirmó.