Un reciente informe publicado por los investigadores de la compañía de ciberseguridad ESET ha sacado a la luz un grave ciberataque perpetrado contra una empresa española del sector aeroespacial (cuyo nombre no se ha revelado). Detrás de este ataque, que tuvo lugar el año pasado —aunque no se había difundido hasta hoy— se encuentra el grupo Lazarus, un grupo de cibercriminales que lleva en activo desde 2009 y que está vinculado a Corea del Norte.
El objetivo del ataque fue, como era previsible, el del ciberespionaje. Pero el modus operandi resulta destacable por la herramienta utilizada en primera instancia: LinkedIn. Efectivamente, un miembro del grupo de ciberdelincuentes se hizo pasar en esta red social profesional por un reclutador de Meta (la empresa matriz de Facebook y WhatsApp) para contactar con empleados de la compañía española.
Conversación inicial entre el falso reclutador de Meta y el empleado de la empresa española. Imagen: ESET
A través de LinkedIn Messaging, este falso reclutador envió a las víctimas dos desafíos de programación, que se presentaban como parte de un proceso de selección que permitiría a los contactados sumarse a la plantilla de Meta. El objetivo oficial de dichos 'desafíos' (un básico 'Hola, Mundo!', y un generador de la secuencia de Fibonacci) consistía en que el aspirante al puesto comprendiera la lógica del programa y lo reescribiera en el lenguaje de programación C++.
Generador de la secuencia de Fibonacci. Imagen: ESET
¿El verdadero objetivo? Que los desafíos (ejecutables) fueran descargados y ejecutados en ordenadores… de la empresa aeroespacial. Así, servirían como señuelo para la instalación de malware en los sistemas de la empresa.
Dicho malware incluía una herramienta denominada 'LightlessCan', un troyano de acceso remoto (RAT) que representa una evolución significativa en comparación con su predecesor 'BlindingCan', pues permite una ejecución discreta y sigilosa dentro del sistema afectado al imitar las funcionalidades de comandos nativos de Windows, lo que dificulta su detección.
Como indicador de que este ataque era mucho más elaborado de lo que parecía a primera vista, los investigadores detectaron el uso de mecanismos de protección destinados a garantizar que el payload sólo pudiera descifrarse en la máquina de la víctima objetivo, dificultando aún más la labor de los expertos en ciberseguridad.
El objetivo final de este malware de Lazarus, una vez estuviera instalado en el equipo de la víctima, era la realización de funciones de ciberespionaje, algo común en los grupos APT (de Amenazas Persistentes Avanzadas) alineados con Corea del Norte, debido a su búsqueda de tecnología y conocimientos aeroespaciales.
El informe de ESET también señala que se presentarán más hallazgos sobre este ataque en la conferencia Virus Bulletin el 4 de octubre de 2023.
Vía | ESET
Imagen | Marcos Merino mediante IA
En Genbeta | Exdirectora del MI5: el ciberespionaje está dificultando la labor de las agencias de inteligencia
Ver 3 comentarios