Autor
El ataque a Sony Pictures, el ransomware Wannacry que tuvo en jaque a compañías en todo el mundo... Se sospeche que todos estos ataques vienen de Corea del Norte, pero ahora el FBI ha publicado un nombre. Se llaman La Cobra Oculta, y pueden estar detrás de ataques que se remontan a 2009.
La Cobra Oculta (Hidden Cobra) es el supuesto nombre de una división de hackers que trabaja directamente al servicio del ejército norcoreano (que es lo mismo que decir que trabajan directamente para Kim-Jong-Un). Según un documento hecho público por la Agencia de Seguridad Nacional de Estados Unidos a partir de datos del FBI, Hidden Cobra es el verdadero nombre del pelotón de hackers que a veces se hace llamar Guardians of Peace o Lazarus Group.
Si damos las investigaciones del FBI por buenas, Hidden Cobra lleva aproximadamente desde 2009 realizando todo tipo de ataques informaticos. El grupo controla varias redes de bots para realizar asaltos DDOS. También ha desarrollado malware propio a partir de vulnerabilidades expuestas por el propio FBI y otras agencias de inteligencia, o a partir de código malicioso creado por otros grupos de hackers. El ransomware Wannacry es el mejor ejemplo de ello.
El documento explica que, aunque los usuarios particulares no deberían preocuparse mucho por ser blanco de este grupo, las empresas e instituciones sí harían bien en tomar medidas. Entre esas medidas está el actualizar los sistemas operativos. Hidden Cobra parece especialmente aficionado a explotar vulnerabilidades en sistemas operativos desactualizados como Windows XP. También operan mucho a través de agujeros en Flash y en Microsoft Azure.
El FBI recomienda especiales precauciones a Corea del Sur. Según sus datos, este grupo de cibercriminales se está tomando especiales molestias en investigar a empresas de transporte, suministro de energía y finanzas. [Homeland Security vía Engadget]
Aquí os dejo la documentación:
Alert (TA17-164A)
COBRA Ocultos - Infraestructura DDoS Botnet de Corea del Norte
Citar
Esta Alerta Técnico conjunto (TA) es el resultado de los esfuerzos analíticos entre el Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI). Esta alerta ofrece detalles técnicos sobre las herramientas y la infraestructura utilizada por los actores cibernéticos del gobierno de Corea del Norte para dirigirse a los medios de comunicación, el sector aeroespacial, y los sectores de infraestructura crítica financieros en los Estados Unidos y en todo el mundo. Trabajar con socios del Gobierno de EE.UU., el DHS y el FBI identificaron Protocolo de Internet (IP) direcciones asociadas con una variante de malware, conocido como DeltaCharlie, que se utiliza para gestionar (DDoS) la infraestructura de red de bots distribuido de denegación de servicio de Corea del Norte. Esta alerta contiene indicadores de compromiso (IOC), descripciones de malware, las firmas de la red, y las reglas basadas en host para ayudar a los defensores de red detectan la actividad llevada a cabo por el gobierno de Corea del Norte. El Gobierno de Estados Unidos se refiere a la actividad cibernética maliciosa por el gobierno de Corea del Norte como ocultos COBRA.
Si los usuarios o administradores detectan las herramientas personalizadas indicativos de COBRA oculta, estas herramientas deben ser marcados inmediatamente denunciado a la comunicaciones nacionales de seguridad cibernética y Centro de Integración (NCCIC) del DHS o la cibernética reloj del FBI (CyWatch), y se les da la más alta prioridad para la mitigación mejorada. Esta alerta identifica las direcciones IP vinculadas a los sistemas infectados con malware y DeltaCharlie proporciona descripciones de los programas maliciosos y las firmas de virus asociados. DHS y el FBI están distribuyendo estas direcciones IP para permitir actividades de defensa de la red y reducir la exposición a la red DDoS-comando y control. FBI tiene alto grado de confianza que los actores COBRA OCULTOS están utilizando las direcciones IP para una mayor explotación de la red.
Esta alerta incluye indicadores técnicos relacionados con las operaciones cibernéticos del gobierno de Corea del Norte específicas y proporciona acciones sugeridas respuesta a esos indicadores, técnicas de mitigación recomendadas, e información sobre la comunicación de incidentes al gobierno de Estados Unidos.
Si los usuarios o administradores detectan las herramientas personalizadas indicativos de COBRA oculta, estas herramientas deben ser marcados inmediatamente denunciado a la comunicaciones nacionales de seguridad cibernética y Centro de Integración (NCCIC) del DHS o la cibernética reloj del FBI (CyWatch), y se les da la más alta prioridad para la mitigación mejorada. Esta alerta identifica las direcciones IP vinculadas a los sistemas infectados con malware y DeltaCharlie proporciona descripciones de los programas maliciosos y las firmas de virus asociados. DHS y el FBI están distribuyendo estas direcciones IP para permitir actividades de defensa de la red y reducir la exposición a la red DDoS-comando y control. FBI tiene alto grado de confianza que los actores COBRA OCULTOS están utilizando las direcciones IP para una mayor explotación de la red.
Esta alerta incluye indicadores técnicos relacionados con las operaciones cibernéticos del gobierno de Corea del Norte específicas y proporciona acciones sugeridas respuesta a esos indicadores, técnicas de mitigación recomendadas, e información sobre la comunicación de incidentes al gobierno de Estados Unidos.
Me hace gracia el nombre que se han puesto estos grupos de hacker Coreanos, La cobra oculta, ahora se deberían de llamar la Cobra destapada.
Desde luego que tienen todas las papeletas, ojo el FBI es como el papa lo que diga va a misa.
En línea
