EADTrust

FireEye señala y explica el alto interés del régimen de Corea del Norte en Bitcoin

By on 13 septiembre, 2017
Fireeye escudo

Fireeye logoEn 2016 desde FireEye comienzan a observar actores, presuntamente norcoreanos, que utilizaban sus habilidades de intrusión para llevar a cabo cibercrímenes con el propósito de atacar bancos y el sistema financiero mundial. Esto marcó un cambio respecto al comportamiento previo observado entre los actores norcoreanos que usan el ciberespionaje para las actividades habituales de los estados.

No es sorprendente este cambio, dada la posición de Corea del Norte como nación desconectada de gran parte de la economía mundial. Debido al férreo control de las habilidades de inteligencia y militares de Corea del Norte, es probable que esta actividad se llevara a cabo para conseguir fondos para las arcas del estado o las arcas personales de la élite de Pyongyang, ya que las sanciones internacionales han constreñido al país.

En estos momentos, podríamos estar siendo testigos de una segunda fase de esta campaña: actores apoyados por el estado intentado robar bitcoin y otras monedas virtuales como medio de evadir las sanciones y conseguir divisas fuertes para financiar el régimen. Desde mayo de 2017 se ha observado que los agentes norcoreanos se centran en al menos tres sitios de intercambio (o casas de cambio) de criptomonedas de Corea del Sur, sospechamos que con la intención de robar fondos.

Bitcoin monedaEl spear phishing (estafa de correo electrónico dirigida a objetivos concretos) que FireEye ha detectado en estos casos, a menudo tiene como objetivo las cuentas de correo electrónico personal de empleados de servicios de cambio de monedas digitales. Frecuentemente utilizan como cebo temas de impuestos e instalan malware (PEACHPIT y variantes similares) ligado a actores norcoreanos que se sospecha que fueron los responsables de las intrusiones en bancos globales en 2016.

Además, tras añadir los vínculos entre los agentes norcoreanos y el ataque para comprometer un sitio web de noticias sobre bitcoin en 2016, así como al menos en un caso el uso de un programa subrepticio de minería de criptomonedas, desde FirstEye señalan el interés de Corea del Norte en las criptomonedas como un activo en el que tan sólo bitcoin ha aumentado su valor cerca de un 400% desde principios de año.

Contra las criptomonedas surcoreanas en 2017 

22 de abril –  Cuatro monederos online de Yapizon, un sitio de intercambio de criptomonedas surcoreano, son comprometidos. Cabe destacar que al menos algunas de las tácticas, técnicas y procedimientos que se emplearon durante este ataque fueron distintas de aquellas en los siguientes intentos de intrusiones y no hay indicaciones claras de la implicación de Corea del Norte.

26 de abril – Estados Unidos anuncia una estrategia para aumentar las sanciones económicas a Corea del Norte. Las sanciones de la comunidad internacional podrían estar impulsando el interés de Corea del Norte en las criptomonedas.

A principios de mayo – Comienza la campaña de spear phishing contra la casa de cambio de moneda digital más importante de Corea del Sur.

A finales de mayo–La segunda casa de cambio en importancia de Corea del Sur es comprometida a través de spear phishing.

Principios de junio – Más actividad supuestamente de Corea del Norte contra víctimas desconocidas, que creemos que son proveedores de servicios de criptomonedas en Corea del Sur.

Principios de junio –La tercera casa de cambio de moneda digital más importante de Corea del Sur es atacada vía spear phishing a cuentas personales.

Beneficios de atacar criptomonedas

A pesar de que bitcoin y las casas de cambio o sitios de intercambio de criptomonedas pueden parecer objetivos extraños para agentes de naciones interesados en financiar las arcas del estado, otras de las tentativas ilícitas desarrolladas por Corea del Norte ponen de manifiesto el interés en llevar a cabo delitos financieros por cuenta del régimen.

Si los actores comprometen una casa de cambio en sí misma (en lugar de una cuenta particular o un monedero) es posible que puedan mover las criptomonedas de los monederos online, cambiándolas por otras criptomonedas más anónimas o enviarlas directamente a otros monederos en distintas casas de cambio para retirarlas después en divisas en moneda fiduciaria como el won surcoreano, los dólares estadounidenses o los yuanes chinos.

Como el marco regulador de las criptomonedas todavía es incipiente, algunas casas de cambio en distintas jurisdicciones pueden tener controles más laxos contra el blanqueo de capitales facilitando este proceso y convirtiendo el ataque a las casas de cambio en una táctica atractiva para cualquiera que busque divisas fuertes.

No debería sorprender que las criptomonedas, como un tipo de activo emergente, se estén convirtiendo en objeto de interés del régimen norcoreano. Aunque en la actualidad, Corea del Norte es bastante singular tanto en su disposición a participar en crímenes financieros y su posesión de habilidades para el ciberespionaje, la exclusividad de esta situación no durará mucho tiempo, a medida que las crecientes ciberpotencias vean un potencial similar.

www.fireeye.com

Deja un comentario