COMENTARIO
En un contexto de tensiones geopolíticas intensificadas, el aumento de los ciberataques contra organizaciones estadounidenses y aliadas por parte de un grupo de ciberespionaje norcoreano no sorprende. Lo preocupante, sin embargo, es que un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) conocido como Kimsuky ha tenido un éxito notable al convertir una fortaleza defensiva en una debilidad, explotando sistemas de autenticación, informes y cumplimiento de mensajes basados en dominios (DMARC, por sus siglas en inglés) mal configurados para llevar a cabo ataques de lanza. -Campañas de phishing para obtener ventaja.
A Aviso del 2 de mayo Fuentes del FBI, la Agencia de Seguridad Nacional (NSA) y el Departamento de Estado de EE. UU. dijeron que Kimsuky, actuando como un brazo de la Oficina General de Reconocimiento (RGB) de Corea del Norte, envió correos electrónicos falsificados a personas de grupos de expertos, medios de comunicación, organizaciones sin fines de lucro, universidades y otros organizaciones destacadas. Estos correos electrónicos son parte de una campaña de inteligencia destinada a obtener información sobre geopolítica y planes de política exterior, particularmente en relación con políticas nucleares, sanciones y otras preocupaciones sensibles con respecto a la Península de Corea.
Con sanciones que duelenCorea del Norte ha desarrollado una formidable capacidad para luchar contra el cibercrimen Los ataques de Kimsuky tienen como objetivo generar dinero para el régimen. Sin embargo, en este caso, vemos a los actores de amenazas de Kimsuky centrándose en operaciones de inteligencia, apuntando a grandes cantidades de información en poder de partes confiables y organizaciones de alto perfil. Aunque la campaña en curso tiene implicaciones geopolíticas complejas, una defensa eficaz contra estos ataques depende fundamentalmente de prácticas de ciberhigiene sólidas, viables y ejecutadas adecuadamente.
Los errores de configuración de DMARC son demasiado comunes
Kimsuky utiliza redes confiables con DMARC mal configurado o faltante para falsificar dominios legítimos y hacerse pasar por personas y organizaciones confiables. El protocolo DMARC se creó para evitar el compromiso de las cuentas de usuario y evitar los mismos tipos de ingeniería social que funcionan aquí.
Así es como se supone que funciona: DMARC permite a los destinatarios de correo electrónico verificar el origen de un correo electrónico a través del Sistema de nombres de dominio (DNS), lo que garantiza que los delincuentes no puedan falsificar dominios legítimos. DMARC verifica los registros del Marco de políticas del remitente (SPF) y del Correo identificado de claves de dominio (DKIM) de un correo electrónico entrante y, si no parece legítimo, le indica al servidor de correo electrónico receptor qué hacer.
Pero como demostraron los ataques de Kimsuky, esto sólo funciona si los servicios DMARC están configurados correctamente. Como señalan los avisos de IC3, los errores de configuración son muy comunes o las políticas están mal definidas por los propietarios de dominios. Para algunas organizaciones, la autogestión de DMARC puede parecer rentable, pero también puede dar lugar a descuidos importantes, incluido el aumento de vulnerabilidades, la falta de consideración de amenazas en constante cambio, la falta de informes de cumplimiento confiables y la creación de una falsa sensación de seguridad.
Cómo se ve el ataque de Corea del Norte
Las campañas de phishing de Kimsuky pueden comenzar con un correo electrónico inofensivo de una fuente aparentemente creíble, generando confianza antes de enviar un correo electrónico posterior que contenga un enlace o un archivo adjunto malicioso. Luego, el grupo utiliza compromisos exitosos para ampliar los ataques con correos electrónicos de phishing más creíbles dirigidos a objetivos de mayor valor.
El grupo centra sus actividades de recopilación de inteligencia contra Corea del Sur, Japón y Estados Unidos, apuntando a personas identificadas como expertos en diversos campos. Según una opinión posterior Las agencias de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), los grupos de expertos y las entidades gubernamentales de Corea del Sur también han sido blanco de ataques.
Un ejemplo concreto tomado del aviso del FBI y la NSA fue: “[Invitation] Conferencia sobre la política estadounidense hacia Corea del Norte. » El mensaje, que parece provenir de una conocida universidad, comienza: “Espero que usted y su familia pasen unas buenas vacaciones y una temporada relajante. Tengo el privilegio de invitarlo a pronunciar un discurso de apertura en un taller privado, organizado por la [legitimate think tank] para discutir la política estadounidense hacia Corea del Norte. » Como incentivo adicional, el correo electrónico también ofrece una tarifa por hablar de $500.
Otro correo electrónico tenía el asunto “Preguntas sobre Corea del Norte”, y el autor se hacía pasar por un periodista de un medio de comunicación legítimo y solicitaba una entrevista, seguida de una descripción general de las actividades nucleares de Corea del Norte.
En el ejemplo de la universidad, el correo electrónico recibió un “aprobado” de las comprobaciones SPF y DKIM, lo que sugiere que el atacante obtuvo acceso al cliente de correo electrónico legítimo de la universidad. Y aunque DMARC devolvió un “fallo” porque el dominio de correo electrónico del remitente difería de los registros SPF y DKIM de la fuente legítima, la política DMARC de la organización no estaba configurada para tomar medidas de filtrado, por lo que el mensaje fue entregado. En el segundo caso, no existía ninguna política DMARC, lo que permitió al atacante falsificar el nombre del periodista y el dominio de correo electrónico de la organización de noticias.
Por qué DMARC es importante
Las recomendaciones del gobierno de EE. UU. brindan razones convincentes para que las empresas protejan sus activos digitales. Kimsuky no es el único APT, o más generalmente, cibercriminal que trabaja con fines de lucro: se comparten lecciones y todos se vuelven cada vez más expertos en atacar las configuraciones erróneas y las debilidades.
Seguridad y configurar DMARC correctamente es esencial porque mejora la higiene de TI de la organización y protege ampliamente contra amenazas ubicuas, como la vulneración del correo electrónico empresarial y los ataques de ransomware por correo electrónico.
Notablemente, industria O regulador Es posible que los requisitos ya hagan que DMARC sea un requisito para su organización. En febrero de 2024, Google y Yahoo DMARC requerido para organizaciones que envían grandes volúmenes de correo electrónico y, según se informa, Microsoft tiene la intención de hacer lo mismo. PCI DSS 4.0 requiere que se implemente DMARC. De acuerdo a Radar BIMIDesde el aviso del FBI del 2 de mayo, la adopción global de DMARC ha aumentado de 3,74 millones de organizaciones a 5,71 millones de organizaciones, al 17 de junio.
También hay un imperativo comercial en juego. Las organizaciones deben priorizar la higiene de TI para proteger sus activos digitales, prevenir filtraciones de datos y protegerse contra amenazas de ciberseguridad en constante evolución. DMARC debería ser parte de la postura cibernética de su organización. Cuando se gestiona adecuadamente, no sólo garantiza una mejor capacidad de entrega, proporciona protección contra el phishing y el compromiso del correo electrónico empresarial (BEC), y permite la implementación de Indicadores de marca para la identificación de mensajes. (BIMI), pero puede ayudar a cerrar las puertas al espionaje de los Estados-nación y al cibercrimen.