Hackers de Corea del Norte se infiltran en una empresa de software tras ciberataque importante

(CNN) -- Supuestos hackers de Corea del Norte se infiltraron en una empresa de software que cuenta con cientos de miles de clientes en todo el mundo, en un ciberataque que demuestra las avanzadas capacidades de ciberdelincuencia de Pyongyang, informaron este jueves investigadores privados.

La brecha en la empresa de software 3CX, descubierta el mes pasado, proporcionó a los norcoreanos un punto de entrada potencial en una enorme franja de compañías multinacionales, desde cadenas hoteleras a proveedores de atención sanitaria, que utilizan el software de 3CX para llamadas de voz y video.

El número de empresas afectadas por el hackeo y lo que los ciberdelincuentes hicieron con el acceso a las redes de las víctimas siguen sin estar claros. Pero es la más reciente prueba de que los ciberdelincuentes norcoreanos están haciendo todo lo posible por entrar en las organizaciones para robar o espiar en apoyo de los intereses estratégicos del dictador Kim Jong Un.

Según Charles Carmakal, director de Tecnología de Mandiant Consulting, empresa a la que 3CX contrató para investigar el ataque, éste muestra "un mayor nivel de capacidad ofensiva cibernética por parte de los operativos norcoreanos".

Una reciente investigación de CNN descubrió un esfuerzo desenfrenado de los ciberdelincuentes norcoreanos por robar criptomonedas y blanquearlas para convertirlas en dinero que podría ayudar a financiar los programas de armamento del régimen. Este tipo de actividad cibernética norcoreana forma parte de los productos de inteligencia habituales que se presentan a altos funcionarios estadounidenses, incluido a veces el presidente Joe Biden, según declaró anteriormente un alto funcionario estadounidense a CNN.

En el caso de 3CX, Mandiant dijo que los hackers se introdujeron en el entorno de producción de software de la empresa comprometiendo primero el software fabricado por otra empresa, la plataforma de negociación de derivados Trading Technologies. Según Mandiant, un empleado de 3CX descargó el software de la desaparecida Trading Technologies que los hackers habían manipulado.

"Esta es la primera vez que encontramos pruebas concretas de que un ataque a la cadena de suministro ha llevado a otro ataque a la cadena de suministro", declaró Carmakal a los medios este miércoles.

Sin embargo, el impacto del ataque no está claro. Cualquiera de los clientes de 3CX que hubiera descargado el software pirateado habría sido susceptible de verse comprometido.

A pesar de eso y según la empresa estadounidense de ciberseguridad CrowdStrike, es probable que los norcoreanos seleccionaran a un número mucho menor de víctimas para realizar actividades de seguimiento en su red.

Georgy Kucherin, investigador de la empresa rusa de ciberseguridad Kaspersky, declaró a CNN que los presuntos cibercriminales norcoreanos utilizaron el acceso a 3CX para atacar empresas de criptomonedas a finales del mes pasado.

Kucherin dijo que su firma vio a los hackers tratando de desplegar código malicioso en "menos de 10 computadoras", pero bloqueó sus esfuerzos, "por lo que no se robó nada".

Nick Galea, CEO de 3CX, restó importancia el 30 de marzo al alcance del incidente, declarando a CNN que "muy pocos" de sus clientes parecían "realmente comprometidos" por los hackers. Pero en un correo electrónico de este jueves, Galea dijo que no sabe cuántos clientes descargaron finalmente el software alterado de 3CX, o cuántos clientes vieron la actividad de pirateo posterior.

3CX pidió a sus clientes que actualicen su software y comprueben si está en peligro.

Trading Technologies no ha podido verificar todavía las conclusiones de Mandiant porque la empresa tuvo conocimiento del problema la semana pasada, según declaró un portavoz de Trading Technologies a CNN este jueves.

"Lo que sí sabemos con certeza es que 3CX no es un proveedor o un cliente de Trading Technologies", dijo el portavoz de Trading Technologies. "También queremos hacer hincapié en que este incidente no tiene ninguna relación con la actual plataforma TT".

Funcionarios estadounidenses se unen a la investigación

El hackeo ha puesto en apuros a funcionarios estadounidenses y ejecutivos del sector privado para determinar cuántas organizaciones estadounidenses podrían verse afectadas.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. "sigue trabajando con socios del gobierno y del sector privado para comprender los impactos de esta campaña de intrusión", dijo un portavoz de la agencia a CNN este jueves. "En muchos casos, el excelente trabajo de la comunidad de ciberseguridad evitó daños significativos para muchas víctimas potenciales".

Los hackeos generalizados de la cadena de suministro se asocian típicamente con hackers vinculados al Estado de China o Rusia, dijo Adam Meyers, vicepresidente de inteligencia de CrowdStrike.

"El hecho de que sea Corea del Norte... demuestra que se trata de un actor que sí tiene capacidades y aspiraciones en la cadena de suministro, y que puede tener efectos a partir de ellas", dijo Meyers a CNN.