[1/2]Una miniatura de personas sosteniendo computadoras frente a una bandera de Corea del Norte en esta ilustración tomada el 19 de julio de 2023. REUTERS/Dado Ruvić/Illustration
Un grupo de piratas informáticos respaldado por el gobierno de Corea del Norte violó una empresa de gestión de TI de EE. UU. y la utilizó como trampolín para apuntar a empresas de criptomonedas, dijeron el jueves la empresa y expertos en seguridad cibernética.
La empresa dijo en entrada en el blog.
JumpCloud no identificó a los clientes afectados, pero las firmas de ciberseguridad CrowdStrike Holdings (CRWD.O), que está ayudando a JumpCloud, y Mandiant (GOOGL.O), propiedad de Alphabet, que está ayudando a un cliente de JumpCloud, dijeron que se sabe que los piratas informáticos involucrados se centran en el robo de criptomonedas.
Dos personas familiarizadas con el asunto confirmaron que los clientes de JumpCloud a los que se dirigían los hacks eran empresas de criptomonedas.
El hack muestra cómo los ciberespías de Corea del Norte, que solían contentarse con cazar empresas de criptomonedas poco a poco, ahora se enfrentan a empresas que podrían darles un acceso más amplio a sus muchas víctimas eventuales, una táctica conocida como «ataque de la cadena de suministro».
dijo Tom Heigl, quien trabaja para US SentinelOne (SN) y confirmado de forma independiente Atribución Mandiant y CrowdStrike.
La misión de Pyongyang ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios. Corea del Norte ha negado anteriormente haber organizado el robo de criptomonedas, a pesar de la evidencia masiva, incluidos los informes de la ONU, de lo contrario.
CrowdStrike ha identificado a los piratas informáticos como «Labyrinth Chollima», uno de varios grupos que supuestamente trabajan en nombre de Corea del Norte. Mandiant dijo que los piratas informáticos responsables trabajaban para la Oficina General de Reconocimiento (RGB) de Corea del Norte, la principal agencia de inteligencia extranjera.
CISA y el FBI se negaron a comentar.
El ataque a JumpCloud, cuyos productos se utilizan para ayudar a los administradores de red a administrar dispositivos y servidores, se hizo público por primera vez a principios de este mes cuando la compañía envió un correo electrónico a los clientes para decirles que sus credenciales cambiarían «por precaución con respecto a un incidente en curso».
En una versión anterior de la publicación del blog que reconoce que el incidente fue un hackeo, JumpCloud rastreó la intrusión hasta el 27 de junio. Podcast centrado en la ciberseguridad trabajo peligroso A principios de esta semana, citaron a dos fuentes que dijeron que Corea del Norte era sospechosa del allanamiento.
Labyrinth Chollima es uno de los grupos de piratería más prolíficos de Corea del Norte y se dice que es responsable de algunos de los ataques cibernéticos más atrevidos y perjudiciales en el aislado país. Su criptorobo condujo a la pérdida de sumas asombrosas: la empresa de análisis Blockchain Chainalysis dijo el año pasado que grupos vinculados a Corea del Norte robaron una cantidad estimada $ 1.7 mil millonesde efectivo digital a través de varios hacks.
Los equipos de piratería de Pyongyang no deben subestimarse, dijo Adam Myers, vicepresidente senior de inteligencia de CrowdStrike.
“No creo que esto sea lo último que veamos en los ataques a la cadena de suministro de Corea del Norte este año”, dijo.
(Reporte de Christopher Bing y Raphael Sater en Washington); Información adicional de James Pearson en Londres y Michael Nichols en Nueva York. Editado por Anna Driver, Bernadette Baume, Connor Humphreys y Margarita Choi
Nuestros estándares: Principios de confianza de Thomson Reuters.
«Fanático del alcohol exasperantemente humilde. Practicante de cerveza sin disculpas. Analista».