Los investigadores cibernéticos de Mandiant de Google Cloud han actualizado un nexo de amenazas cibernéticas de Corea del Norte rastreado a lo largo de los años como Andariel, también conocido como Onyx Sleet, Plutonium y Silent Chollima, a un grupo oficial de amenazas persistentes avanzadas (APT), advirtiendo que está apuntando a secretos atómicos estrechamente guardados. y tecnología mientras Corea del Norte continúa sus esfuerzos por adquirir armas nucleares.
Operando desde 2009 y posiblemente teniendo vínculos con la operación de piratería de Lazarus de alguna forma, el recién designado APT45 se describe como moderadamente sofisticado en su alcance y tecnología.
Comenzó su trabajo como un operador motivado financieramente (como muchos grupos norcoreanos, un objetivo principal es robar capital para financiar el régimen aislado y enfermo) y su sospecha de desarrollo y uso de ransomware lo distingue de los demás. Mandiant citó evidencia del uso de las cepas de ransomware Maui y Shatteredglass por parte de los clústeres APT45, aunque no ha podido probar este punto definitivamente.
Lo que se sabe con cierta seguridad es que, más recientemente, la atención de APT45 se ha centrado en otros campos, incluidos los de ciencias agrícolas, atención sanitaria y productos farmacéuticos, y últimamente gran parte de su tiempo se ha ocupado de asuntos militares, dijo Mandiant.
“Muchos avances en las capacidades militares de Corea del Norte en los últimos años pueden atribuirse directamente a los exitosos esfuerzos de espionaje de APT45 contra gobiernos y organizaciones de defensa de todo el mundo”, dijo el analista principal de Mandiant, Michael Barnhart. “Cuando Kim Jong Un exige mejores misiles, estos son los tipos que le roban los planos”.
En sus actividades, APT45 favorece una combinación de herramientas de piratería disponibles públicamente y cepas de malware modificadas y personalizadas.
Su biblioteca de herramientas parece algo distinta de otras APT norcoreanas; sin embargo, su malware exhibe algunas características compartidas, incluida la reutilización de código, codificación personalizada única y contraseñas.
operación del fbi
Durante las últimas semanas, Mandiant ha estado “participado activamente” en un esfuerzo concertado, trabajando junto con el FBI y otras agencias estadounidenses, para rastrear los esfuerzos de APT45 para adquirir información de defensa e investigación de Estados Unidos y otros países, incluidos el Reino Unido, Francia, Alemania y Corea del Sur, además de Brasil, India y Nigeria.
Se cree que en sus misiones, el APT45 se centró en tanques ligeros y pesados; obuses autopropulsados; vehículos ligeros de ataque y suministro de munición; buques de combate litorales y embarcaciones de combate; submarinos; torpedos y vehículos submarinos no tripulados y autónomos; tecnología de modelado y simulación; aviones de combate y drones; misiles y sistemas de defensa antimisiles; satélites, comunicaciones por satélite y tecnología relacionada; sistemas de radar de vigilancia y de matriz en fase; y fabricación, incluida la construcción naval, robótica, impresión 3D, fundición, fabricación, moldeado de metal, plástico y caucho, y procesos de mecanizado.
Lo que es más preocupante, el grupo también ha estado observando objetivos de enriquecimiento y procesamiento de uranio, desechos y almacenamiento, plantas de energía nuclear e instalaciones e investigación.
“APT45 no está sujeto a consideraciones éticas y ha demostrado que está dispuesto y es lo suficientemente ágil para apuntar a cualquier entidad para lograr sus objetivos, incluidos los hospitales”, dijo Barnhart. “Es necesario un esfuerzo global coordinado que involucre tanto al sector público como al privado para contrarrestar esta amenaza persistente y en evolución”.