Hace algunos días, en el marco de una presentación para clientes sobre la integración de los esfuerzos en CTI (Cyber threat intelligence) con la gestión de incidentes y el negocio, note la sorpresa en el rostro de varios de los presentes, cuando sobre el final, un pequeño punto del checklist relacionado con “llamadas a la acción”, refería la importancia de reforzar procesos tradicionales como la verificación de antecedentes (“Background Checks”), los principios de menor privilegio y otros controles igual de “tradicionales”.
Unas horas después, el “Grupo de inteligencia de amenazas de Google” (GTIG por sus siglas en Ingles), publicaba una nueva entrada en su blog titulada: “Los trabajadores de TI de la RPDC se expanden en alcance y escala”. En el, se destaca la amenaza creciente que representa el colectivo identificado como “Trabajadores de TI de la República Popular Democrática de Corea (RPDC)”, quienes se hacen pasar por empleados remotos legítimos, con el fin de infiltrarse en empresas extranjeras y generar ingresos para el régimen norcoreano.
La coincidencia entre ambos eventos me pareció una buena oportunidad para destacar la importancia de algunos controles que a menudo no son correctamente valorados en nuestra estrategia de seguridad.
La RPDC foco de un nuevo informe del GTIG
De que trata este nuevo informe elaborado por el GTIG? Básicamente, el post menciona que, si bien los esfuerzos de los “Trabajadores de TI de la RPDC” se encuentran centrados en Estados Unidos, dado que en los últimos meses se les ha dificultado mantener sus empleos en dicho país, han decidido expandir su alcance a países de Europa como Alemania, Portugal & el Reino Unido, donde han participado en proyectos que van desde el desarrollo web hasta aplicaciones avanzadas de blockchain e inteligencia artificial.
Como parte de su actividad, estos trabajadores de TI han empleado tácticas con diverso grado de sofisticación, incluyendo la creación de múltiples identidades falsas, la presentación de referencias específicamente elaboradas y la manipulación de reclutadores y otros facilitadores, con el objeto de obtener empleo en sectores relacionados con Industria y Gobierno.
Se menciona, además, que estos actores han evolucionado sus métodos para llevar a cabo operaciones dentro de infraestructuras virtualizadas, permitiéndoles realizar actividades maliciosas con un mayor grado de cobertura y aprovecharse de políticas laxas y/o ausencia de controles en ciertos entornos BYOD. Además, el volumen de intentos de extorsión se ha incrementado y los ataques han alcanzado a organizaciones más grandes.
En resumen, el equipo de Google concluye que la expansión y sofisticación de estas operaciones, ponen de manifiesto la adaptabilidad de los “Trabajadores de TI de la RPDC”, quienes al ver que la conciencia en los EEUU respecto de esta amenaza aumenta, comenzaron a expandir su modelo a otros países, lo que sugiere, en sus palabras, “la rápida formación de una infraestructura global y una red de apoyo que impulsa la continuidad de sus operaciones”.
Algo de contexto
Hasta aquí un muy breve resumen de la entrada publicada por el GTIG. Ahora bien, lo cierto es que este tema no es en esencia, nada nuevo.En Mayo de 2022, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. emitió una alerta conjunta entre el FBI y el Departamento de Estado sobre el uso de trabajadores de TI norcoreanos que se hacen pasar por profesionales independientes para generar ingresos ilícitos destinados al desarrollo de armas nucleares.
Por aquel entonces, el equipo de Mandiant, también identificaba las los trabajadores de IT de la DPRK, tal como se evidencia en algunos de los podcast y documentos publicados por el grupo en aquel momento.
En Septiembre de 2024, la OFSI (Office of Financial Sanctions Implementation – GOV.UK), publicaba su “Aviso sobre los trabajadores de TI de Corea del Norte”, desde donde alertaba de estas operaciones. Al mismo tiempo, el equipo de Incident Response de Mandiant, publicaba el documento “Mantenerse un paso adelante: Mitigar la amenaza de los trabajadores de TI de la RPDC”, con un conjunto valioso de información respecto de este colectivo, incluyendo algunos indicadores de compromiso IOCs.
En resumen
La entrada publicada el día de hoy en el blog del grupo de inteligencia de amenazas de Google, no debe ser vista como un dato aislado, sino como la evolución de alertas previas, respecto de una amenaza en desarrollo que continúa extendiéndose geográficamente, volviéndose más sofisticada y peligrosa al lograr mayor acceso a entornos sensibles.
Si nos detenemos a examinar las recomendaciones provistas en el documento de la OFSI como así en el post del equipo de respuesta a incidentes de Mandiant en 2024 mencionados en los párrafos anteriores, veremos que más allá de las contramedidas técnicas y la identificación de indicadores de compromiso, aspectos tales como la ejecución de procesos completos y consistentes de “Background Checks” son absolutamente necesarios.
Estos deben ser implementados como un control de seguridad para la organización y no solo como una tarea más del departamento de RRHH. Al considerarlo de este modo, este control será mantenido en el tiempo, permitiendo asegurar que el nivel de riesgo que intentamos reducir al momento de su implementación se encuentra vigente y que amenazas como la mencionada en este post son tenidas en cuenta al momento de su diseño.
Finalmente, en tu organización se utilizan los procesos de “Background Checks” como controles de seguridad de seguridad de la información?
Comentarios recientes