El desapercibido actor coreano

El 2 de febrero de 2018 publicamos un blog detallando el uso de una vulnerabilidad día cero de Adobe Flash (CVE-2018-4878) por un grupo de ciberespionaje presuntamente norcoreano que ahora identificamos como APT37 (Reaper).

El análisis de las actividades recientes de este grupo por FireEye iSIGHT Intelligence revela que APT37 ha expandido sus operaciones tanto en alcance como en sofisticación. El conjunto de herramientas de APT37, que incluye acceso a vulnerabilidades día cero y malware de borrado, combinado con el aumento de las tensiones en el noreste asiático y la inclinación de Corea del Norte a romper normas, significa que este grupo debería ser tomado en serio.

Evaluamos con gran confianza que esta actividad está siendo llevada a cabo en nombre del gobierno norcoreano, puesto que los objetivos y el desarrollo de los artefactos de malware están alineados con los intereses del Estado norcoreano. FireEye iSIGHT Intelligence cree que APT37 está alineado con la actividad comunicada públicamente de Scarcruft y Grupo 123.

Objetivo y misión

APT37 probablemente ha estado activo desde al menos 2012 y se centra en atacar los sectores público y privado sobre todo en Corea del Sur. En 2017, APT37 amplió el objetivo de sus ataques más allá de la península de Corea para incluir Japón, Vietnam y Oriente Medio, así como a un rango más amplio de industrias, incluyendo entidades de los sectores químico, electrónico y tecnológico, fabricación, aeroespacial, automoción y sanitario.

Consideramos que la misión principal de APT37 es reunir información encubierta en apoyo de los intereses militares, políticos y económicos de Corea del Norte. Esto está basado en los constantes ataques e ingeniería social a entidades públicas y privadas surcoreanas. La ampliación del ámbito de los objetivos de APT37 también parece tener relevancia directa con los intereses estratégicos de Corea del Norte.

De 2014 a 2017 los objetivos de APT37 se concentraron principalmente en los sectores del gobierno, ejército, industria de la defensa y medios de comunicación surcoreanos. Los materiales que usaban como cebo normalmente usaban el idioma coreano y trataban de asuntos como la reunificación de la península coreana o sanciones.

En 2017, APT37 atacó una compañía de Oriente Medio que formó una joint venture con el gobierno norcoreano para proporcionar servicios de telecomunicaciones al país. En ese momento, otros objetivos incluyeron personas involucradas en asuntos internacionales y de negocios, el director general de una compañía internacional de trading y transporte y posiblemente personas que trabajaban con la organización de los Juegos Olímpicos ayudando a obtener recursos para los atletas.

Los ataques dirigidos a desertores norcoreanos y a personas y entidades relacionadas con los derechos humanos proporcionan más evidencias de que APT37 realiza operaciones alineadas con los intereses de Corea del Norte.

APT37 atacó a un investigador, miembro del consejo y periodista asociado con diversos asuntos de derechos humanos en Corea del Norte y organizaciones estratégicas. También atacó una entidad japonesa asociada con las misiones de Naciones Unidas sobre sanciones y derechos humanos. APT37 distribuyó el malware SLOWDRIFT, usando como cebo la referencia a Corea Global Forum, entre las instituciones académicas y estratégicas localizadas en Corea del Sur. Es destacable que el email fue enviado desde un instituto surcoreano con su seguridad comprometida que realiza estudios sobre Corea del Norte. El hilo o asunto “durihana”, que también es el nombre de una organización cristiana misionera que trabaja con los desertores de Corea del Norte, fue incluido en un documento malicioso de APT37 enviado a una persona que trabaja con una organización de derechos humanos norcoreana.

Vectores iniciales de infección

Además de las técnicas de spear phising (phishing dirigido a un objetivo concreto) mencionadas previamente, APT37 utiliza una gran variedad de métodos para propagar malware. Entre ellos, comprometer la seguridad de sitios web por motivos estratégicos, lo que es característico de las operaciones de ataque de ciberespionaje, así como el uso sitios para compartir archivos “torrent“ para distribuir malware más indiscriminadamente.

Múltiples campañas han empleado tácticas de ingeniería social diseñadas a medida y de forma específica para los objetivos deseados. Engaños con cebos y sitios web de particular interés para las organizaciones surcoreanas (por ejemplo, sobre la reunificación) son utilizados habitualmente en campañas. Numerosos sitios web surcoreanos son explotados con compromisos estratégicos de web para depositar nuevas variantes del malware KARAE y POORAIM. Entre los sitios identificados se encuentran medios de comunicación conservadores de Corea del Sur y un sitio web de noticias para refugiados y desertores norcoreanos. En un caso, APT37 cargó una aplicación de descarga de vídeo con el malware KARAE que fue distribuido de forma indiscriminada entre las víctimas surcoreanas a través de páginas web de descargas “torrent”.

Vulnerabilidades explotadas

APT37 explota con frecuencia vulnerabilidades en el Procesador de Word Hangul (HWP) debido a la prevalencia de este software en Corea del Sur. Además, el grupo demostró recientemente su acceso a vulnerabilidades día cero (CVE-2018-0802) y tiene la flexibilidad de incorporar con rapidez las vulnerabilidades hechas públicas recientemente en operaciones de spear phising y para comprometer la seguridad de sitios web por motivos estratégicos. Estas capacidades sugieren un rápido ritmo operativo y conocimientos especializados.

APT37 ha desplegado exploits (código para explotar vulnerabilidades) repetidamente, sobre todo en Flash, de forma rápida tras hacerse públicas. CVE-2016-4117, CVE-2016-1019 y CVE-2015-3043 fueron todas explotadas por APT37 de esta forma. FireEye iSIGHT Intelligence confirmó que, desde al menos noviembre de 2017, APT37 explotó una vulnerabilidad día cero de Adobe Flash, CVE-2018-4878, para distribuir el malware DOGCALL a víctimas surcoreanas.

Mientras que el uso y descubrimiento de software malicioso (exploits) día cero durante los últimos años se a expandido más allá del entorno dominado por las naciones estado para incluir a proveedores comerciales de capacidades de ciberespionaje y actores motivados por las finanzas, el acceso a exploits día cero sigue siendo un factor para distinguir actores sofisticados o con buenos recursos.

Infraestructura de Mando y Control

APT37 usa una variedad de técnicas de mando y control. Utilizan servidores comprometidos, plataformas de mensajería y proveedores de servicios en la nube para evitar su detección. El grupo a menudo confía en sitios comprometidos para alojar una segunda parte de los códigos dañinos (payload) de malware. Con el paso del tiempo, APT37 ha cambiado los proveedores de correo electrónico para establecer cuentas de mando y control en un posible intento de cubrir su rastro y despistar. Estas tácticas se han ido refinando a lo largo de los años a medida que APT37 evoluciona para evadir a los expertos de seguridad de redes.

APT37 ha usado varias plataformas legítimas como mando y control para sus herramientas de malware. Mientras que algunas campañas iniciales usaban POORAIM, que abusaba del sistema de mensajería instantánea de AOL, la actividad más reciente despliega DOGCALL, que usa APIs de almacenamiento en la nube como las de pCloud y Dropbox.

APT37 cuenta con sitios web comprometidos para alojar malware secundario. Los pequeños sitios web que ha usado se centran en materias como la aromaterapia o el submarinismo y lo más probable es que su seguridad fuera comprometida de forma oportunista y hecha para albergar los códigos dañinos (payloads) maliciosos.

APT37 ha mejorado sus capacidades de seguridad a lo largo del tiempo.  Por ejemplo, al principio de 2015 el uso de SLOWDRIFT involucraba credenciales asociadas con Corea relacionadas con servidores de correo como “Daum.net”. Más tarde, en 2015 y a principios de 2016, APT37 cambió a proveedores de correo diferentes como Gmail y “hmamail.com” en un intento de hacer más anónima su actividad. Entonces, desde mediados de 2016 en adelante, empezaron a usar @yandex.com y “india.com como cuentas de email (posiblemente en un intento de confundir a la hora de atribuir sus ataques).

Malware

APT37 emplea una diversa gama de malware para la intrusión inicial y la extracción de datos. Su malware se caracteriza por centrarse en robar información de las víctimas, con muchas configuraciones para extraer datos de interés automáticamente.

Junto con el malware a medida o personalizado utilizado para el espionaje, APT37 también tiene acceso a malware destructivo. En abril de 2017, APT37 atacó organizaciones militares y gubernamentales surcoreanas con la puerta trasera DOGCALL y el malware de borrado RUHAPPY.  Aunque la capacidad de borrado no fue usada en el caso identificado, RUHAPPY puede sobreescribir la Master Boot Record (MBR) de una máquina, causando que el sistema falle al iniciarse el arranque en sus particiones preconfiguradas.

Es posible que la distribución del malware KARAE por parte de APT37 a través de sitios web “torrent” pueda ayudar a crear y mantener redes bot para futuros ataques de denegación de servicios distribuidos (DDoS) o para otras actividades como campañas por motivos económicos o operaciones disruptivas. La actividad de ciberamenazas destructivas y disruptivas, incluyendo el uso de malware de borrado, filtrados públicos de materiales registrados o patentados por falsas personas hactivistas, ataques DDoS y tácticas de guerra electrónica, como la interferencia de la señal GPS, son coherentes con el comportamiento pasado de otros agentes o actores norcoreanos.

Atribución

Evaluamos con gran confianza que APT37 actúa en apoyo del gobierno norcoreano y está principalmente situado en Corea del Norte. Esta evaluación está basada en múltiples factores, incluyendo el perfil de objetivos de ataques de APT37, el conocimiento del desarrollo de malware del grupo y sus probables vínculos a un individuo norcoreano que se cree que es el desarrollador de varias de las familias de malware propiedad del grupo:

  • Un individuo que creemos que es el desarrollador de varios de los códigos dañinos (payloads) de malware desveló sin advertirlo datos personales que mostraban que el actor estaba operando desde una dirección IP y un punto de acceso asociado a Corea del Norte.
  • Los horarios de compilación del malware de APT37 son coincidentes con los de un desarrollador que opere en la zona horaria de Corea del Norte (UTC +8:30) y sigue lo que parece una jornada laboral típica norcoreana. La mayoría de los horarios de compilación de malware ocurrieron entre las 10:00 a.m. y las 7:00 p.m., con una disminución hacia el mediodía. Hubo actividad adicional en horario más tardío por la tarde. Esto es coincidente con los horarios extremadamente prolongados de los trabajadores norcoreanos.
  • La mayoría de la actividad de APT37 continúa teniendo como objetivo de ataque a Corea del Sur, los desertores norcoreanos y organizaciones y personas involucradas en la reunificación de la península de Corea. De forma similar, el ataque de APT37 a una compañía de Oriente Medio en 2017 también es coherente con los objetivos norcoreanos, dadas las amplias relaciones de esta entidad en Corea del Norte.

Perspectiva e implicaciones

Corea del Norte ha demostrado repetidamente su voluntad de mejorar sus capacidades cibernéticas para una variedad de propósitos, que no se deja intimidar por los límites teóricos ni por las normas internacionales. Aunque principalmente han aprovechado otros equipos sospechosos de ser norcoreanos para llevar a cabo las acciones más agresivas, APT37 es una herramienta adicional a disposición del régimen, quizá incluso deseable por su relativo anonimato. Esperamos que APT37 será utilizado cada vez más en roles y regiones previamente inusuales, especialmente a medida que la presión crezca.

La lenta transformación de los actores regionales en amenazas mundiales está bien establecida. Incidentes menores en Ucrania, Oriente Medio y Corea del Sur han anunciado las amenazas, que ahora son imposibles de ignorar. En algunos casos, la economía mundial conecta organizaciones a actores regionales agresivos. En otros casos, un mandato creciente saca al actor a la escena internacional. Ignoradas, estas amenazas disfrutan del beneficio de la sorpresa, permitiéndoles extraer pérdidas significativas de sus víctimas, muchas de las cuales no conocían previamente al actor.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *