Lazarus, levántate y camina…

Gabriel Bergel    7 marzo, 2019
Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico, si no un grupo cibercriminal norcoreano, y “levántate y camina” calza perfectamente con el fenómeno que esta ocurriendo en Chile y Latinoamérica, ya que este grupo de ciberdelincuentes se esta alzando y con fuerza, por si no lo sabían, al grupo norcoreano Lazarus, se le adjudican una serie de campañas y ataques desde el 2007.
El ataque más antiguo que se puede atribuir al Grupo Lazarus tuvo lugar en 2007. Este ataque fue denominado “Operación Llama” o “Operation Flame” en ingles y utilizó malware de primera generación contra el gobierno de Corea del Sur. Según algunos investigadores, la actividad presente en este ataque puede vincularse a ataques posteriores como “Operación 1Misión”, “Operación Troya” y los ataques DarkSeoul en 2013.
El siguiente incidente tuvo lugar el 4 de julio de 2009 y provocó el inicio de “Operación Troya”. Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, poco sofisticado, contra sitios web de EE. UU y Corea del Sur. La ráfaga de ataques afectó a treinta y seis sitios web y colocó el texto “Memoria del día de la Independencia” en el registro de arranque maestro (MBR). Con el paso del tiempo, los ataques de este grupo se han vuelto más sofisticados, sus técnicas y herramientas han evolucionado y son más efectivas. El ataque de marzo de 2011 conocido como “Diez días de lluvia” se centró en medios de comunicación, finanzas y la infraestructura crítica de Corea del Sur y consistió en ataques DDoS más sofisticados que se originaron en ordenadores comprometidas dentro de Corea del Sur.
Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul (mas sobre este ataque y la vida de un hacker en Corea del Sur en nuestro blog), un ataque de malware wiper que tuvo como objetivo tres compañías de transmisión de Corea del Sur, institutos financieros y un ISP. En ese momento, otros dos grupos, NewRomanic Cyber Army Team y WhoIs Team, reconocieron ese ataque, pero los investigadores descubrieron que el Grupo Lazarus estaba detrás de él. Un ataque notable por el que se conoce al grupo es el ataque de 2014 en Sony Pictures. El ataque de Sony utilizó técnicas más sofisticadas y destacó cómo ha evolucionado el grupo con el tiempo, también se le atribuye la creación del ramsomware “Wannacry”.
¿Quiénes son?
Según varias investigaciones, el Grupo Lazarus (también conocido como Hidden Cobra o DarkSeoul) es un grupo de cibercriminales compuesto por un número desconocido de individuos, su modus operandi principal es el uso de malware avanzado contra sus objetivos. De acuerdo a lo indicado por el gobierno de los EEUU, UK y Rusia, es un grupo de cibercriminales patrocinado por el estado, cuyo nombre en código es Hidden Cobra, está supuestamente controlado por el Bureau 121, una división de la Oficina General de Reconocimiento, una agencia de inteligencia de Corea del Norte. Bureau 121 es responsable de realizar campañas cibernéticas militares contra distintos objetivos.
Se sabe que Lazarus se ha especializado en ataques DDoS y violaciones corporativas dirigidas a instituciones gubernamentales, militares y aeroespaciales de todo el mundo. Ahora que la presión económica global sobre Corea del Norte ha aumentado, Lazarus ha cambiado su enfoque hacia las organizaciones financieras internacionales para realizar robos de dinero y espionaje.
El primer ataque de Lazarus en el ámbito financiero y el de mayor escala ocurrió en febrero de 2016, cuando los ciberdelincuentes intentaron robar alrededor de 1 billón de dólares del Banco Central de Bangladesh aprovechando las debilidades en la seguridad del banco para infiltrarse en su sistema y obtener acceso a computadoras con acceso a la red SWIFT. Debido a un error en el documento de pago, los atacantes lograron robar solo 81 millones de dólares. En marzo de 2017, funcionarios del FBI y la NSA confirmaron públicamente por primera vez que Pyongyang estaba probablemente detrás del ataque al Banco Central de Bangladesh.
En febrero de 2017, varios bancos polacos se vieron comprometidos. Los investigadores de seguridad analizaron el código de malware y lo utilizaron principalmente para atribuir la actividad al grupo Lazarus. Pero como las herramientas a menudo son reutilizadas por diferentes grupos, el análisis de malware no proporciono evidencia concluyente de atribución.
Especialistas de la empresa rusa Group IB investigaron a este grupo y encontraron pruebas que identifican que Corea del Norte está detrás de estos ataques, a través de la detección y análisis exhaustivo de varias capas de la infraestructura de comando y control “C&C” utilizada por Lazarus identificaron las direcciones IP de Corea del Norte desde las cuales se controlaron los ataques.
Desde estos casos, muchos otros ataques han sucedido con modus operandi y vector de ataque similar, por lo tanto todo apunta a que fueron cometidos por el mismo grupo Lazarus, tanto Group IB como Kaspersky han investigado al grupo y han relacionado a otros países donde se buscaba el mismo objetivo: robar dinero. A continuación 2 mapas mundiales donde se identifican las operaciones de Lazarus.
Mapa elaborado por Group IB sobre países objetivo de Lazarus
Mapa de ataques a entidades financieras elaborado por Kaspersky
Suponiendo que el sistema financiero asiático reacciono a estos ataques y aumentó las barreras para evitar seguir siendo victima y que los bancos en Europa estaban mejor preparados, el grupo comenzó a mirar otros objetivos y así llego a Latinoamérica.
El primer ataque de Lazarus en Latinoamérica sucedió en Ecuador en el Banco del Austro en febrero del 2016, costándole12 millones de dólares a la entidad, para realizar el ciber-robo se siguieron los siguientes pasos:
  1. Utilizar malware para saltarse el sistema de seguridad local del banco.
  2. Obtener acceso a la red de mensajería SWIFT.
  3. Enviar mensajes fraudulentos a SWIFT para iniciar transferencias de dinero desde las cuentas corrientes hasta bancos más grandes.
Durante diez días los hackers utilizaron las credenciales de SWIFT pertenecientes a un empleado del banco para modificar los detalles de transacción de 12 transferencias que sumaron alrededor de 12 millones de dólares, acabando todo ese dinero en cuentas bancarias en Hong Kong, Dubái, Nueva York y Los Ángeles.
También ha habido ataques no confirmados y donde existe muy poca información que relacionan a la organización con ataques en México, donde indican que Lazarus quiso llevarse 100 millones de dólares del sistema financiero mexicano a través de un ciberataque.

“Logramos identificar que un grupo de hackers de origen norcoreano han intentado afectar al sistema financiero nacional”, reveló Marco Rosales, titular de la Unidad de Investigaciones y Operaciones Tecnológicas de la Procuraduría General de la República (PGR).

También supuestamente robaron 11 millones de dólares de un banco no identificado en Costa Rica, intentos de ataque en Uruguay, Colombia y Brasil, hasta que llegaron a Chile, donde atacaron al Banco de Chile en mayo del 2018 (10 millones de dólares), Banco Consorcio en noviembre del 2018 (2 millones de dólares) y Redbanc en diciembre del 2018 (0, lograron repeler el ataque).

Consulta la segunda parte del análisis:
» Lázarus, levántate y camina… (Parte II)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *