La amenaza puede esconderse en una falsa oferta de trabajo

Ya advertían los expertos en el mes de enero, cuando intentamos pronosticar cuáles serían las tendencias tecnológicas de este 2022, que los ciberataques se volverían aún más sofisticados. Para burlar las medidas de seguridad y sistemas de vigilancia, los piratas informáticos idean nuevas tretas cada vez más enrevesadas. España es uno de los países víctima del ataque perpetrado entre finales de 2021 y marzo de este año por el grupo Lazarus APT. Este iba dirigido a contratistas aeroespaciales y de defensa y para ello eligieron la red social LinkedIn y la aplicación de mensajería instantánea WhatsApp.

Ahora lo han explicado con todo lujo de detalles los expertos de la compañía de ciberseguridad ESET en su evento anual, celebrado en Bratislava. Allí, se ha descubierto que estos ciberdelincuentes -vinculados según Estados Unidos al régimen de Corea del Norte- diseñaron en LinkedIn y en WhatsApp campañas falsas de reclutamiento de personal.

Los investigadores de esta firma han presentado los resultados de la investigación que han llevado a cabo sobre Lazarus APT. El director de Investigación de Amenazas de ESET, Jean-Ian Boutin, repasó el listado de países afectados: España, Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania en Europa y también Oriente Medio y Brasil al otro lado del Atlántico.

Intentó robar dinero sin éxito

A pesar de que el objetivo principal de esta operación de Lazarus es el ciberespionaje, el grupo también ha tratado de robar dinero, aunque sin éxito. “El grupo de amenazas Lazarus demostró su ingenio al desplegar un interesante conjunto de herramientas, incluyendo, por ejemplo, un componente de modo de usuario capaz de explotar un controlador vulnerable de Dell para escribir en la memoria del kernel. Este avanzado truco se utilizó en un intento de eludir las soluciones de seguridad”, declaró Jean-Ian Boutin.

Ya en 2020, los investigadores de ESET habían documentado una campaña llevada a cabo por un subgrupo de Lazarus contra contratistas europeos del sector aeroespacial y de defensa, denominada operación In(ter)ception. Esta campaña ya utilizaba las redes sociales, especialmente LinkedIn, para generar confianza entre el atacante y un empleado desprevenido antes de enviarle componentes maliciosos que se hacían pasar por descripciones o solicitudes de empleo. En ese momento, las empresas de Brasil, República Checa, Qatar, Turquía y Ucrania ya estaban en el punto de mira. En el caso de España, el grupo inició la campaña en LinkedIn para contactar con personas de la empresa objetivo y ofrecerles puestos de trabajo. A partir de ahí, los atacantes enviaron pruebas de nivel -como formularios de preguntas- a las víctimas para enviarles contenidos maliciosos.

Falso reclutador en LinkedIn

Los investigadores de ESET creían que la acción estaba dirigida principalmente a atacar a empresas europeas, pero al rastrear una serie de subgrupos de Lazarus que realizaban campañas similares contra contratistas de defensa, pronto se dieron cuenta de que la campaña se extendía mucho más allá. Aunque el malware utilizado en las distintas campañas era diferente, el modus operandi inicial siempre era el mismo: un falso reclutador se ponía en contacto con un empleado a través de LinkedIn y acababa enviando componentes maliciosos.

En este sentido, han continuado con la misma estrategia que en el pasado. Sin embargo, los investigadores de ESET también han documentado la reutilización de elementos de campañas de contratación legítimas para añadir legitimidad a sus campañas de falsos reclutadores. Además, los ciberdelincuentes han utilizado servicios como WhatsApp o Slack en sus ciberataques.

El origen de la investigación se remonta al año pasado, cuando el Departamento de Justicia de Estados Unidos acusó a tres informáticos de ciberataques cuando trabajaban para el ejército norcoreano. Según el gobierno estadounidense, pertenecían a la unidad de hackers militares norcoreanos conocida en la comunidad de seguridad informática como Lazarus Group.

Como ha quedado de manifiesto en este encuentro anual de ESET, los ciberataques también han estado y siguen estando muy presentes en la actual invasión de Rusia en Ucrania. El investigador Robert Lipovský ha mencionado, entre otros casos, el último intento de interrumpir la red eléctrica del país utilizando el malware Industroyer2 y a través de otros ataques.