Dejaron a Kim sin Conexión ¿Quién ha cortado Internet en Corea del Norte?

Autor: Marco Crabu para Ciberprisma – Gentileza de OFCS REPORT ITALIA

¿Quién cortó el servicio de Internet en Corea del Norte?
¿Quién rompió el juguete de Kim?

En los últimos días de enero, y durante todo un fin de semana; alguien interrumpió el tráfico de la red en la RPDC. Todos los servidores confidenciales más importantes del país se han vuelto repentinamente inalcanzables. Los archivos de registro analizados por expertos locales en TI dan testimonio de ello.

Un ataque de denegación de servicio distribuido (DDoS) golpeó con bombos y platillos la débil infraestructura de TI de Pyongyang, lo que provocó el fallo de Internet. El ciberataque se produjo pocas horas después de que finalizara la quinta prueba de misiles anhelada por el plenipotenciario Kim Jong-un.

Ante esta situación, todo parecía indicar que se trataba de un acto disruptivo de un comando cibernético de alguna potencia extranjera local, en respuesta a las pruebas de misiles prohibidos realizadas por orden del déspota del «país ermitaño». No señor, no fue eso lo que sucedió.

El ataque fue ejecutado, según Wired, por un solo individuo que se escudaría bajo el seudónimo P4x (decidió no usar su nombre real por temor a represalias), explotó las vulnerabilidades de las defensas de los sistemas de Corea del Norte, carentes de los parches de seguridad más básicos.

El pirata informático, de una nacionalidad aún no confirmada (pero probablemente estadounidense), aparentemente habría afirmado que actuó en represalia contra ciberdelincuentes coreanos desconocidos que tenían en la mira a profesionales de seguridad (incluido él) y a los investigadores de Google, quienes a su vez intentaron interactuar en forma amistosa con ellos.

Una vez que se ganaron la confianza de los investigadores, los ciberdelincuentes de Pyongyang comenzaron a difundir contenido malicioso en los chats compartidos, infectando los sistemas informáticos de los investigadores.

El mismo P4x había recibido de uno de esos investigadores falsos una «puerta trasera» (backdoor) diseñada para instalarse automáticamente en la computadora de la víctima. Claramente, el astuto P4x había aislado y «puesto en cuarentena» el malware que había ingresado a su sistema, pero aún no caía de su asombro por haber sido víctima de un intento de hackeo por parte de los ciberdelincuentes norcoreanos.

Una vez que informó al FBI sobre el intento de hackeo a sus medios TI, P4x no salía de su asombro puesto que nunca recibió una ayuda real de las autoridades competentes…ninguna evaluación de los daños sufridos, y ni siquiera un mínimo indicio sobre la forma de protegerse en el futuro inmediato.

Y aquí es donde entra P4x. Él mismo, tras una exhaustiva y agotadora búsqueda del objetivo, habría identificado las vulnerabilidades sin parchear en los servidores norcoreanos. En este punto, todo estaba listo para un ataque a gran escala.

Usando la estrategia DDoS, P4x lanzó una serie de ataques que afectaron gravemente la infraestructura TI de Corea del Norte, logrando deshabilitar y desconectarla de Internet. Según el «hacker ético» estadounidense, parecieran existir numerosas vulnerabilidades informáticas en los sistemas nacionales de Corea del Norte. Comenzando con el error de software del servidor web NginX, que gestiona de forma anómala algunos encabezados Https, permitiendo de esta manera que sea fácilmente hackeado y como consecuencia el servidor quede «fuera de línea» en cuanto se ejecuta el código malicioso. En su lenta búsqueda de «pruebas de penetración», P4x también encontró versiones obsoletas del software del servidor web Apache y manifestó que se encuentra sometiendo a examen al sistema operativo norcoreano, conocido como «Red Star OS». En definitiva, la estrategia de hackeo de sombrero blanco diseñada y ejecutada por P4x con el objeto de encontrar vulnerabilidades de los sistemas de Corea del Norte, parece haber sido relativamente simple, dado que el autor del exploit lo habría usado de manera lícita recientemente, incluso en uno de sus clientes.

Mientras se desarrollaba la ciberofensiva de P4x, los portales web como el sitio de reservas de la aerolínea nacional, Air Koryo en Naenara, se desconectaron en forma masiva e intermitente; el portal oficial del dictador Kim; los servidores centrales utilizados para la gestión del correo electrónico; probablemente también uno de los principales enrutadores que permiten el acceso a la red del país, aislándolo del resto del mundo exterior.

Sólo unos pocos afortunados (funcionarios gubernamentales de alto rango, piratas informáticos militares, laboratorios de investigación,etc.), que no superan algunos pocos miles de personas, pueden utilizar Internet tal cual la conocemos en Occidente. Finalmente también un puñado de personas en altos cargos (Kim y su familia, por ejemplo) usan Internet de manera «recreativa» (facebook, películas, libros, tecnología prohibida, artículos de lujo prohibidos y alimentos o bebidas de contrabando para su propio placer), que no viven en la misma dimensión que sus compatriotas.

La acción aislada de P4x contra los enrutadores de Corea del Norte logró reducir el tráfico de la red desde adentro e impidió el acceso a los servicios web del país desde el exterior. Pero, en realidad, aquellos «ciudadanos afortunados» que mencionamos continuaron teniendo acceso al resto de Internet y utilizando servicios externos. De esta manera, las decenas de sitios afectados por el exploit introducido por P4x fueron los que utiliza habitualmente el régimen norcoreano.

Algunos analistas y expertos de la industria coinciden en que la acción de represalia aislada de P4x simplemente tuvo el objetivo de molestar a la dictadura norcoreana. De lo contrario su objetivo hubieran sido los ciberdelincuentes asociados a la Oficina General de Reconocimiento – RGB (el Comando Cibernético del Ejército Popular de Corea – KPA), o bien derribar las «piezas del régimen» de Kim. Esto coloca a P4x fuera del lugar de su incumbencia, ya que la mayor parte de los incidentes de la «guerra entre estados» proviene de países ubicados fuera de las fronteras nacionales de Corea del Norte, como China.

El hacker ético reconoce que no aspira a tanto, sino simplemente quiere tratar de desarrollar la experiencia necesaria para obtener la mayor información posible sobre los errores que podrían estar presentes en la infraestructura cibernética de Corea del Norte, para luego ponerla a disposición de las autoridades. En ese sentido lanzó el Proyecto FUNK (FU Corea del Norte) para reunir esfuerzos de más personas con ideas afines en un intento por reflexionar sobre el «poder de fuego colectivo».

Resulta extraño que ninguna agencia del gobierno de EEUU se haya pronunciado sobre la incursión supuestamente maliciosa de Corea del Norte, y no se haya hecho nada para responder a un ataque de esa magnitud. No obstante, debemos admitir que para algunos expertos en ciberguerra este tipo de incursiones individuales resultan vanas y peligrosas, porque paradójicamente existe el riesgo de exponer a la comunidad internacional a un riesgo aún mayor. Corea del Norte también podría tomar represalias si creyera que el ataque a los sistemas informáticos y a su red de Internet fue le resultado de una acción orquestadapor el gobierno norteamericano.

Por último, también cabe agregar que la comunidad de investigadores en ciberseguridad sigue muy perpleja y convencida de que, por lo general, las agencias gubernamentales de EEUU, como CISA (Cybersecurity & Infrastructure Security Agency), dirigen sus esfuerzos contra las amenazas informáticas que pudieran afectar al propio gobierno, a las empresas comerciales, pero no a los individuos. parece que aún resta mucha tarea por resolver en este ámbito.

* Marco Crabu – Licenciado en Ciencias Sociológicas, Facultad de Ciencias Políticas de la Universidad de Bolonia. Especialista en Seguridad, Geopolítica y Defensa

Artículo publicado originalmente en italiano el 4/2/2022 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, https://www.ofcs.it/cyber/kim-resta-senza-connessione-chi-ha-spento-internet-in-north-korea/#gsc.tab=0

Artículo traducido al castellano por el Equipo Ciberprisma con autorización expresa del autor y del editor de OFCS.Report