WASHINGTON, 20 de julio (Reuters) – Un grupo de piratería respaldado por el gobierno de Corea del Norte penetró en una empresa estadounidense de gestión de TI y la utilizó como trampolín para apuntar a empresas de criptomonedas, según dos fuentes familiarizadas con el asunto.
Los piratas informáticos irrumpieron en JumpCloud, con sede en Louisville, Colorado, a fines de junio y utilizaron su acceso a los sistemas de la compañía para apuntar a sus clientes de la compañía de criptomonedas en un esfuerzo por robar dinero electronic, dijeron las fuentes.
El hackeo muestra cómo los ciberespías de Corea del Norte, que alguna vez se contentaron con perseguir a las criptoempresas una a la vez, ahora atacan a las empresas que pueden darles acceso a múltiples fuentes de bitcoin y otras monedas digitales.
JumpCloud, que reconoció el ataque en una publicación de blog site la semana pasada y culpó a un «actor de amenazas sofisticado patrocinado por un estado nacional», no respondió a las preguntas de Reuters sobre quién estaba detrás del ataque y qué clientes se vieron afectados.
Un portavoz de JumpCloud dijo que menos de cinco clientes se habían visto afectados. Reuters no pudo determinar si finalmente se robó alguna moneda digital como resultado del ataque.
La firma de seguridad cibernética CrowdStrike Holdings, (CRWD.O), que está trabajando con JumpCloud para investigar la violación, confirmó que «Labyrinth Chollima», el nombre que le da a un escuadrón distinct de piratas informáticos de Corea del Norte, estaba detrás de la violación.
El vicepresidente sénior de inteligencia de CrowdStrike, Adam Meyers, se negó a comentar sobre lo que buscaban los piratas informáticos, pero señaló que tenían un historial de apuntar a objetivos de criptomonedas.
“Uno de sus principales objetivos ha sido generar ingresos para el régimen”, dijo.
La misión de Pyongyang ante las Naciones Unidas en Nueva York no respondió de inmediato a una solicitud de comentarios. Corea del Norte ha negado previamente haber organizado robos de moneda digital, a pesar de la voluminosa evidencia, incluidos los informes de la ONU, de lo contrario.
La investigación independiente respaldó la acusación de CrowdStrike.
El investigador de seguridad cibernética Tom Hegel, que no participó en la investigación, dijo a Reuters que la intrusión de JumpCloud fue la última de varias infracciones recientes que mostraron cómo los norcoreanos se han vuelto expertos en «ataques a la cadena de suministro» o hacks elaborados que funcionan comprometiendo software o proveedores de servicios para robar datos, o dinero, de los usuarios posteriores.
“Corea del Norte, en mi opinión, realmente está intensificando su juego”, dijo Hegel, quien trabaja para la firma estadounidense SentinelOne. (SN)
En una publicación de blog que se publicará el jueves, Hegel dijo que los indicadores digitales publicados por JumpCloud vincularon a los piratas informáticos con actividades previamente atribuidas a Corea del Norte.
La agencia estadounidense de vigilancia cibernética CISA y el FBI se negaron a comentar.
El ataque a JumpCloud, cuyos productos se utilizan para ayudar a los administradores de pink a administrar dispositivos y servidores, apareció públicamente por primera vez a principios de este mes cuando la empresa envió un correo electrónico a los clientes para decirles que cambiarían sus credenciales «por precaución en relación con un incidente en curso».
En la publicación del website que reconoció que el incidente fue un pirateo, JumpCloud rastreó la intrusión hasta el 27 de junio. El podcast sobre seguridad cibernética Risky Business enterprise a principios de esta semana citó a dos fuentes diciendo que Corea del Norte era sospechosa de la intrusión.
Labyrinth Chollima es uno de los grupos de piratería más prolíficos de Corea del Norte y se dice que es responsable de algunas de las intrusiones cibernéticas más audaces y perturbadoras del aislado país. Su robo de criptomoneda ha llevado a la pérdida de sumas asombrosas: la firma de análisis Blockchain Chainalysis dijo el año pasado que grupos vinculados a Corea del Norte robaron un valor estimado de $ 1.7 mil millones en efectivo digital a través de múltiples hacks.
Meyers de CrowdStrike dijo que los escuadrones de piratas informáticos de Pyongyang no deben subestimarse.
“No creo que este sea el último ataque a la cadena de suministro de Corea del Norte que veremos este año”, dijo.
Información de Christopher Bing y Raphael Satter en Washington Información adicional de James Pearson en Londres y Michelle Nichols en Nueva York Editado por Anna Driver y Bernadette Baum
Nuestros estándares: los principios de confianza de Thomson Reuters.