FALLCHILL, el malware norcoreano que hackeó el corazón USA

En un punto en el que las tensiones entre ambos países son máximas -la pelea de patio de colegio de Donald Trump y Kim Jong-Il por Twitter ha sido tan épica como vergonzosa-, Estados Unidos y Corea del Norte continúan con una particular guerra que se libra más que en el campo de batalla físico, en uno virtual. Ambos bandos están enfrascados en una contienda hacker en el ciberespacio, ya sea por ataques directos como el Wannacry de Corea o indirectos como el corte de Red de los USA a Corea pasando por China en el que intervino Rusia, la tercera en la disputa.

FALLCHILL, el malware norcoreano

Esta semana el FBI y la agencia Homeland de seguridad nacional han publicado un serie de documentos con los detalles técnicos de lo que según ellos son ciberataques lanzados o respaldados por Corea del Norte. Y los han publicado para ayudar a las compañías a que se protejan de estos hackes, detallando elementos como las direcciones IP asociadas con virus troyanos como Volgmer, usado por la comunidad hacker desde hace años.

Ampliar

Pero no sólo hablan de troyanos populares en la Red, sino también de FALLCHILL, un malware que los hackers de Corea del Norte han usado para comprometer redes en sectores USA tan claves como la industria aeroespacial, las agencias de Telecomunicaciones o el siempre lucrativo sector financiero, el más indicado a la hora de crear un caos en un país. La clave de FALLCHILL es formar parte de una web infectada, una que el usuario visita sin pensar que está entrando en un site peligroso. Y una vez ha accedido, FALCHILL se baja solo sin que nos demos cuenta, aunque este malware también puede venir como un virus secundario que llega tras la infección de otro malware previo.

Hidden Cobra ataca de nuevo

¿Qué hace FALLCHILL una vez está en un sistema? Este malware tiene la potestad de robar datos e información, así como ejecutar, borrar y trasladar todo tipo de archivos y procesos del sistema. Lo mejor que tiene es que FALLCHILL puede auto-limpiar su presencia tras haber terminado, lo que hace muy difícil detectar que estuvo en una red o infraestructura de sistemas. Según el FBI y Homeland Security, tanto el troyano Volgmer como este FALLCHILL forman parte de las herramientas que usa Hidden Cobra, el grupo hacker que ha atacado sectores clave en Estados Unidos y por todo el mundo desde 2009.

¿Quienes son Hidden Cobra? Pues nada menos que el grupo de élite del Bureau 121, la división militar informática de Corea del Norte. También conocidos por el nombre de Guardians of Peace y Lazarus Group, según los Estados Unidos Hidden Cobra es quien está detrás del hackeo que Sony Pictures sufrió en 2014 como represalia por la película The Interview, que trata sobre dos reporteros americanos que van a asesinar al dictador de Corea del Norte. También se les atribuye, aunque no con tanta disposición, el mayor pirateo que hemos visto en este siglo provocado por el ransomware Wannacry, el mismo que tumbó las infraestructuras públicas, privadas y civiles de medio mundo en 150 países usando irónicamente herramientas creadas por la NSA, la Agencia Nacional de Seguridad americana