Los investigadores de seguridad dicen que creen que los piratas informáticos de Corea del Norte estuvieron detrás de una intrusión reciente en la empresa de software empresarial JumpCloud debido a un error que cometieron los piratas informáticos.
Mandiant, que asiste a uno de los clientes afectados de JumpCloud, atribuyó la violación a piratas informáticos que trabajan para la Oficina de Reconocimiento General de Corea del Norte, o RGB, una unidad de piratería que apunta a empresas de criptomonedas y roba contraseñas de ejecutivos y equipos de seguridad. Corea del Norte ha utilizado durante mucho tiempo el robo de criptomonedas para financiar su programa de armas nucleares sancionado.
Dentro una entrada de blog, Mandiant dijo que la unidad de piratería, a la que llama UNC4899 (ya que es un nuevo grupo de amenazas no clasificado), expuso por error sus direcciones IP reales. Los piratas informáticos de Corea del Norte a menudo usaban servicios VPN comerciales para ocultar sus direcciones IP, pero en «numerosas ocasiones» las VPN fallaron o los piratas informáticos no las usaron al acceder a la red de la víctima, exponiendo su acceso desde Pyongyang.
Mandiant dijo que su evidencia lo respaldaba como «una falacia de OPSEC», refiriéndose a la seguridad operativa: cómo los piratas informáticos intentan evitar la filtración de información sobre su actividad como parte de sus campañas de piratería. Los investigadores dijeron que también descubrieron infraestructura adicional utilizada en esta intrusión que anteriormente fue utilizada por piratas informáticos atribuidos a Corea del Norte.
“Los actores de amenazas vinculados a Corea del Norte continúan mejorando sus capacidades cibernéticas para robar criptomonedas. Durante el último año, los hemos visto llevar a cabo múltiples ataques a la cadena de suministro, envenenar software legítimo y desarrollar e implementar malware personalizado en sistemas macOS”, dijo Charles Carmakal, CTO de Mandiant. “En última instancia, quieren comprometer las empresas con criptomonedas y han encontrado formas creativas de hacerlo realidad. Pero también cometen errores que nos han permitido atribuirles varias intrusiones.
SentinelOne y CrowdStrike también confirmaron que Corea del Norte estaba detrás de la intrusión de JumpCloud.
JumpCloud dijo en una breve publicación la semana pasada que menos de cinco de sus clientes empresariales y menos de 10 dispositivos fueron objeto de la campaña de piratería de Corea del Norte. JumpCloud restableció las claves API de sus clientes después de informar una intrusión en junio. JumpCloud tiene más de 200 000 clientes empresariales, incluidos GoFundMe, ClassPass y Foursquare.