Expertos en seguridad nuclear y proliferación de armas han sido contactados por presuntos piratas informáticos norcoreanos que han dicho ser periodistas de la Voz de América, según el grupo de amenazas de inteligencia Mandiant, que explicó que el patrón se ha repetido con otros medios de prensa.
Estos espías trataban de obtener inteligencia sobre la postura de funcionarios internacionales hacia el gobierno de Kim Jong Un, dice el informe de Mandiant, una firma de ciberseguridad estadounidense y subsidiaria de Google.
Se trata del intento más reciente del grupo de espionaje cibernético conocido como APT43, también llamado “Kimsuky” o “Thallium” de posar como periodistas y contactar organizaciones de gobierno en Estados Unidos y Corea del Sur, así como también a académicos y centros de estudio.
Al menos siete periodistas de cinco organizaciones de prensa fueron suplantados por individuos de APT43, dijo el analista sénior de Mandiant Gary Freas a la VOA el miércoles.
“Hemos observado éxito para reunir información delicada relacionada con los asuntos de la península de Corea”, como personas contactadas que han respondido a preguntas sobre el sentimiento en Occidente acerca de las actividades de Corea del Norte, entre ellas la proliferación nuclear y los lanzamientos de misiles, dijo Freas.
En un correo electrónico del 14 de octubre de 2022 obtenido por Mandiant, el remitente, suplantando a un reportero de la VOA, escribió varias preguntas relacionadas con los programas de misiles y armas nucleares de Corea del Norte, entre ellas: “¿Aumentaría Japón su presupuesto de defensa y una política de defensa más proactiva?”
También lea Directora de USAGM describe esfuerzos para contrarrestar propaganda de China y RusiaEl remitente solicitó una respuesta dentro de cinco días.
La VOA “sabe que actores maliciosos han tratado de suplantar a nuestros periodistas en intentos para obtener información de terceros, incluso de temas de proliferación”, dijo Nigel Gibbs, un portavoz de la agencia de prensa estadounidense.
“Es algo de lo que estamos conscientes y nos preocupamos en verificar nuestra identidad y educar a las fuentes sobre potenciales imitadores”.
Mandiant dijo que en los últimos meses ha estado en contacto con la Agencia de Medios Globales de Estados Unidos (USAGM) por la sospechada operación de Corea del Norte haciéndose pasar por reporteros de la VOA.
“La confianza entre nuestros periodistas y sus fuentes es imperativa”, señaló Laurie Moy, directora de Asuntos Públicos de USAGM. “USAGM hace grandes esfuerzos para proteger la seguridad y la integridad de los medios de comunicación de nuestros periodistas”.
Moy explicó que la agencia suministra un robusto sistema de tecnología de la información para respaldar las preocupaciones de seguridad de los periodistas, así como “equipos codificados, sistemas de acceso de autenticación multifactorial, y revisiones de rutina de vulnerabilidades y amenazas externas”.
También lea ONU: hackers norcoreanos roban récord de activos virtualesLos falsos correos electrónicos, que simulaban ser de reporteros del Servicio Coreano de la VOA, frecuentemente eran enviados a académicos, funcionarios y otras personas, en busca de comentarios. En algunos casos, quienes los recibieron contactaron a la oficina de la VOA en Seúl y se les informó que no eran auténticos.
“Nuestro equipo ha sido blanco de varios intentos agresivos de phishing, e incluso suplantaciones, en los últimos años”, dijo Dong Hyuk Lee, el jefe del servicio coreano de la VOA.
Agregó que decenas de reporteros de su equipo han sido blancos, pero siempre notificaron a la oficina de tecnología o la seguridad de USAGM.
A principios de este mes, Mandiant reveló también que el mismo grupo de piratas cibernéticos distribuyó un anexo que aparentaba ser de un reclutador del periódico The New York Times.
Actividades similares relacionadas con Pyongyang se han descubierto en los últimos años, entre ellas un fraude de phishing dirigido a periodistas de Corea del Sur en que el remitente se hacía pasar como un guionista del Sistema de Transmisiones Coreano en busca de información sobre Corea del Norte.
“Los hackers patrocinados por los estados tratan de pasar como periodistas”, dijo a la VOA Joseph Bodnar, un analista de la Alanza para Asegurar la Democracia. “Los reporteros tienen más información y acceso que el resto de las personas, y suplantarlos es una forma fácil de explotar la confianza de una fuente”.
También lea Hackers norcoreanos explotaron estampida en Seúl para propagar malwareProofpoint, una firma de ciberseguridad, emitió un reporte el año pasado que detallaba esfuerzos de hackers “oficialistas” de Corea del Norte, China, Irán y Turquía para espiar o suplantar a periodistas en Estados Unidos.
“Estos hackers pueden ser descuidados, envían mensajes con incorrecciones gramaticales o faltas de ortografía”, dijo Bodnar. “Los buscadores de Google pueden revelar que el periodista que suplantan no existe o usa un correo electrónico diferente. Hay prácticas básicas de seguridad que ayudan a defenderse de esas amenazas”.
En el Departamento de Estado el miércoles, el viceportavoz Vedant Patel dijo que aunque no podía abordar casos específicos de suplantaciones de personal del New York Times y la VOA, se sabe que Corea del Norte “da pasos maliciosos y desestabilizadores” a los cuales “hay que estar vigilantes”.
Corea del Norte a menudo promueve “a maliciosos actores cibernéticos a generar ingresos para el régimen, evadiendo la sanciones”, dijo a la VOA la mayor Katrina Chessman, de la Fuerza de la Misión Cibernética Nacional de EEUU. Lo hace “a través de una variedad de métodos ilícitos, como robo de criptomonedas, ransomware y actividades fraudulentas” de trabajadores de tecnología de la información norcoreanos en el exterior”.
También lea EEUU recupera rescate pagado por hospital a hackers norcoreanosEl grupo Kimsuky APT probablemente ha estado operando desde 2012, según la Agencia de Seguridad Cibernética y de Infraestructura de EEUU, y está enfocada en delitos cibernéticos financieros para respaldar al gobierno de Pyongyang.
Durante la pandemia del coronavirus, la atención se desvió a farmacéuticas y otras compañías relacionadas con la salud. APT43 presuntamente ha estado involucrada en registrar dominios web para que luzcan como páginas legítimas de internet, entre ellas una de la Universidad de Cornell.
El grupo usa también aplicaciones maliciosas para robar nombres de usuario y contraseñas y generar criptomonedas.
“APT43 es excepcionalmente bueno en convencer a sus blancos” dijo Freas. “Los hemos visto crear direcciones de correo electrónico que lucen similares a las de reporteros o analistas de centro de estudio, y también dominios falsos muy parecidos a los medios de prensa reales que están falsificando”.
¡Conéctate con la Voz de América! Suscríbete a nuestro canal de YouTube y activa las notificaciones, o bien, síguenos en las redes sociales: Facebook, Twitter e Instagram.