La compañía de analíticas informáticas AlienVault detectó un instalador de una aplicación para minar Monero, cuya renta es enviada presuntamente a la Universidad Kim Il Sung en Pyongyang, Corea del Norte.
El instalador se encarga de copiar un archivo llamado intelservice.ex en la computadora, el que según los investigadores es similar de forma parcial al software xmrig. Este software según señalan en un informe ha protagonizado diversas campañas recientes de difusión de malware a nivel mundial.
Curiosamente, la dirección de Monero y el dominio del servidor que recibe lo minado, indican que este servidor está localizado en la Universidad Kim Il Sung. Además, su contraseña de acceso es KJU, una clara referencia al presidente Kim Jong-Un
La aplicación, especifican, también está diseñada para conectarse y ser ejecutada entre varias redes, como puede ser en este caso la de la Universidad. Sin embargo, los investigadores detectaron que la dirección solía minar pero ya no lo hace, considerando que pudiera tratarse de una trampa para los investigadores de seguridad, además de no quedarles claro si están observando pruebas tempranas de este ataque, o es parte de una operación de minería legítima en la que los dueños de los equipos están conscientes de que esto está ocurriendo.
Todo resulta confuso, en primera instancia. Según ejemplifican, uno de los mensajes detectados incluye código para hacer debug en los equipos, algo que sin duda un pirata cibernético no utilizaría. Sin embargo, contiene también nombres falsos de archivos que parecieran evitar ser detectados por los mecanismos de seguridad.
A su vez, dos líneas de código sugieren que el software fue creado por desarrolladores netamente diferentes pero que copiaron el código desde el mismo lugar. Según analizan, el lugar desde donde se subió a la red el código y el texto en idioma francés sugiere que el autor de estas dos líneas de código reside en Marruecos.
Los analistas tienen también en cuenta que diversos grupos de hackers relacionados a Corea del Norte han hecho ya campañas para infectar servidores de minería de criptomonedas. El grupo Bluenorroff comprometió algunos servidores e intentó además robar $951 millones de dólares del Banco de Bangladesh, misión en la cuál tuvieron éxito parcial. El grupo Andariel, minó monero a partir de los servidores de una compañía surcoreana, pudiendo ser una evolución del grupo BlackMine, conocido por haber robado fondos del Ministerio de la Defensa de Corea del Sur. Todos responden a la organización Lazarus, un grupo de hackers de alto nivel que tienen conexiones con Corea del Norte.
Lazarus puede incluir entre sus integrantes a desarrolladores bastante experimentados, capaces de crear un software malicioso a partir de un código mediocre encontrado en cualquier foro de internet. Sin embargo, descartan que el hacker pertenezca a este grupo pues el instalador analizado no tiene un manejo muy experimentado del lenguaje de programación Visual Basic. Así, culminan con que en vista de que el servidor está alojado en una universidad, podría tratarse de un proyecto académico. Recientemente, la Universidad de Ciencia y Tecnología de Pyongyang invitó a expertos extranjeros a dictar una clase sobre critomonedas. Alien Vault plantea que quizás el instalador analizado sea el más reciente producto de estas clases.
Para finalizar, establecen que las escasas direcciones IP asignadas a Corea del Norte permitieron detectar una de ellas, 175.45.178.19, la cuál ha estado muy activa en casas de cambio de criptomonedas, además de haber estado relacionada con el ataque a servidores web conocido como BlackMine entre 2014 y 2016, algo que dada la limitada cantidad de direcciones IP en Norcorea, pudiera ser una casualidad.
Durante el año pasado, Corea del Norte protagonizó diversos incidentes de seguridad de alcance global, acusándosele del esparcimiento del virus ransomware Wannacry por la Casa Blanca, así como el robo de criptomonedas a la casa de cambio Bithumb, una de las principales de Corea del Sur.
