Ir al contenido

Lazarus Group

De Wikipedia, la enciclopedia libre
Grupo Lázaro
나사로 그룹
Tipo Amenaza persistente avanzada
Objetivos Ciberespionaje, ciberguerra
Fundación c. 2009
Fundador Reconnaissance General Bureau
Miembro de Unidad 180, AndAriel (group)

Grupo Lázaro (dialecto surcoreano라자루스 그룹?, Rajaruseu GeurupRR, Rajarusŭ KŭrupMR), también conocido por otros apodos como Guardians of Peace o Whois Team; es un grupo de ciberdelincuentes compuesto por un número desconocido de individuos. Aunque no se sabe mucho sobre el grupo, los investigadores les han atribuido muchos ciberataques durante la última década. Originalmente un grupo criminal, el grupo ha sido designado ahora como una amenaza persistente avanzada debido a su naturaleza intencional, la amenaza y la amplia gama de métodos utilizados al llevar a cabo una operación. Los nombres dados por las empresas de seguridad cibernética incluyen HIDDEN COBRA (por la Comunidad de Inteligencia de los Estados Unidos)[1]​ y Zinc (por Microsoft).[2][3][4]

Historia

[editar]

El primer ataque conocido del que es responsable el grupo se conoce como "Operation Troy", que tuvo lugar entre 2009 y 2012. Se trató de una campaña de ciberespionaje que utilizó técnicas poco sofisticadas de ataque de denegación de servicio distribuido (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También son responsables de los ataques en 2011 y 2013. Es posible que también estuvieran detrás de un ataque en 2007 dirigido a Corea del Sur, pero eso es aún incierto.[5]​ Un ataque notable por el que el grupo es conocido es el de 2014 contra Sony Pictures. El ataque a Sony utilizó técnicas más sofisticadas y puso de manifiesto lo avanzado que ha llegado a ser el grupo con el tiempo.

Se informó de que el Grupo Lázaro había robado 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015.[6]​ También se han dirigido a bancos de Polonia y México.[7]​ El atraco a un banco en 2016[8]​ incluyó un ataque al Banco de Bangladés, en el que se robaron 81 millones de dólares y que se atribuyó al grupo. En 2017, se informó de que el grupo Lázaro había robado 60 millones de dólares del Banco Internacional del Lejano Oriente de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos se recuperaron.[7]

No está claro quién está realmente detrás del grupo, pero los informes de los medios de comunicación han sugerido que el grupo tiene vínculos con Corea del Norte.[9][10][7]​  Kaspersky Lab informó en 2017 que Lázaro tendía a concentrarse en el espionaje y los ciberataques de infiltración, mientras que un subgrupo dentro de su organización, que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un enlace directo (dirección IP) entre Bluenoroff y Corea del Norte.[11]

Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una "bandera falsa" con el fin de engañar a los investigadores y culpar al ataque a Corea del Norte, dado que el ciberataque con el gusano WannaCry en todo el mundo también copió las técnicas de la NSA. Este rescate aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017.[12]​ Symantec informó en 2017 que era "muy probable" que Lázaro estuviera detrás del ataque WannaCry.[13]

2009 Operación Troy

[editar]

El siguiente incidente tuvo lugar el 4 de julio de 2009 y provocó el inicio de la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de EE. UU. y Corea del Sur. La oleada de ataques golpeó alrededor de tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro maestro de arranque (MBR).

2013 Ciberataque a Corea del Sur

[editar]

Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han desarrollado mejor y son más eficaces. El ataque de marzo de 2011 conocido como "Diez Días de Lluvia" se dirigió a los medios de comunicación surcoreanos, a las finanzas y a la infraestructura crítica, y consistió en ataques DDoS más sofisticados que se originaron en ordenadores comprometidos dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul, un ataque de borrado que se dirigió a tres empresas de radiodifusión surcoreanas, instituciones financieras y un ISP. En ese momento, otros dos grupos que se hacían llamar "NewRomanic Cyber Army Team and WhoIs Team", se llevaron el crédito por ese ataque pero los investigadores no sabían que el Grupo Lázaro estaba detrás de él en ese momento. Los investigadores hoy en día conocen al Grupo Lázaro como un supergrupo detrás de los ataques disruptivos.[14]

2014 La brecha de Sony

[editar]

Los ataques del Grupo Lázaro culminaron el 24 de noviembre de 2014. Ese día, apareció un post de Reddit que decía que Sony Pictures había sido hackeada. Nadie lo sabía en ese momento, pero este fue el comienzo de una de las mayores violaciones corporativas de la historia reciente. En el momento del ataque, el grupo se identificó como los Guardianes de la Paz (GOP) y fueron capaces de hackear la red de Sony, dejándola paralizada durante días. El grupo afirma que estuvieron en la red Sony durante un año antes de ser descubiertos.[15]​ El ataque fue tan intrusivo que los hackers pudieron acceder a valiosa información interna, incluyendo películas no publicadas anteriormente y la información personal de aproximadamente 4.000 empleados pasados y presentes. El grupo también pudo acceder a correos electrónicos internos y revelar algunas prácticas muy especulativas que estaban ocurriendo en Sony.[16]

2016 Operación Blockbuster

[editar]

Bajo el nombre de "Operación Blockbuster", una coalición de empresas de seguridad, liderada por Novetta,[17][18]​ fue capaz de analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Utilizando esos datos, el equipo fue capaz de analizar los métodos utilizados por los hackers. Relacionaron al Grupo Lázaro con varios ataques a través de un patrón de reutilización de código.[19]

2017 Ataques de WannaCry

[editar]

El malware WannaCry que afectó a hasta 300.000 ordenadores en todo el mundo es probablemente obra de hackers del sur de China, Hong Kong, Taiwán o Singapur, dijo una empresa de inteligencia estadounidense.[20]​ El presidente de Microsoft atribuyó el ataque WannaCry a Corea del Norte.[21]

2017 Ataques de criptografía

[editar]
Cartel de búsqueda del FBI, de un hackers del Grupo Lázaro, Park Jin Hyok

En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lázaro con los ataques a los usuarios de Bitcoin y Monero principalmente en Corea del Sur.[22]​ Se informó de que estos ataques eran técnicamente similares a los ataques anteriores con el software de rescate WannaCry y los ataques a Sony Pictures.[23]​ Una de las tácticas utilizadas por los hackers del Grupo Lázaro fue explotar las vulnerabilidades en Hancom's Hangul, un software de procesamiento de textos surcoreano.[23]​ Otra táctica fue usar señuelos de spear-phishing que contenían malware y que se enviaban a estudiantes surcoreanos y a usuarios de intercambios de criptografía como Coinlink. Si el usuario abría el malware, robaba direcciones de correo electrónico y contraseñas.[8]​ Coinlink negó a su sitio o a los usuarios que los correos electrónicos y las contraseñas habían sido hackeados.[8]​ El informe concluyó que "Esta campaña de finales de 2017 es una continuación del interés de Corea del Norte por la criptocracia, que ahora sabemos que abarca una amplia gama de actividades, como la minería, los rescates y el robo descarado...".[22]​  En el informe también se decía que Corea del Norte utilizaba esos ataques en criptodólares para eludir las sanciones financieras internacionales.[24]​ Los hackers norcoreanos robaron 7 millones de dólares de Bithumb, una bolsa de valores surcoreana, en febrero de 2017.[25]​ Youbit, otra empresa surcoreana de intercambio de Bitcoin, se declaró en quiebra en diciembre de 2017 después de que el 17% de sus activos fueran robados por ciberataques tras un ataque anterior en abril de 2017.[26]​El Grupo Lázaro y los hackers norcoreanos fueron culpados por los ataques.[27][22]​ Nicehash, un mercado de minería de nubes de criptodivisa perdió más de 4.500 Bitcoin en diciembre de 2017. Una actualización de las investigaciones afirmó que el ataque está relacionado con el Grupo Lázaro.[28]

2019 Ataques de septiembre

[editar]

A mediados de septiembre de 2019, los EE. UU. emitieron una alerta pública sobre una nueva versión de malware llamada ELECTRICFISH.[29]​ Desde principios de 2019, agentes norcoreanos han intentado cinco grandes robos cibernéticos en todo el mundo, incluido un robo con éxito de 49 millones de dólares en una institución de Kuwait.

Educación

[editar]

Los hackers norcoreanos son enviados por vocación a Shenyang, China, para un entrenamiento especial. Se les entrena para desplegar malware de todo tipo en ordenadores, redes informáticas y servidores. La educación a nivel nacional incluye la Universidad Tecnológica Kim Chaek y la Universidad Kim Il-sung.[30]

Unidades

[editar]

Se cree que el Grupo Lázaro tiene dos unidades[31]

BlueNorOff

[editar]

BlueNorOff es un grupo con motivaciones financieras que es responsable de las transferencias ilegales de dinero a través de órdenes falsas de Swift. BlueNorOff también se llama APT38 (por Mandiant) y Stardust Chollima (por Crowdstrike).[32][33]

AndAriel

[editar]

AndAriel se caracteriza logísticamente por tener como objetivo a Corea del Sur. El nombre alternativo de AndAriel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo.[8]​ Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen al gobierno y la defensa y cualquier símbolo económico.[8][34]

Véase también

[editar]

Referencias

[editar]
  1. Volz (16 de septiembre de 2019). «U.S. Targets North Korean Hacking as National-Security Threat». MSN. 
  2. «Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats». Microsoft on the Issues (en inglés estadounidense). 19 de diciembre de 2017. Consultado el 16 de agosto de 2019. 
  3. «FBI thwarts Lazarus-linked North Korean surveillance malware». IT PRO (en inglés). Consultado el 16 de agosto de 2019. 
  4. Guerrero-Saade, Juan Andres (16 de enero de 2018). «North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign». Recorded Future. Archivado desde el original el 16 de enero de 2018. 
  5. «Security researchers say mysterious 'Lazarus Group' hacked Sony in 2014». The Daily Dot. Consultado el 29 de febrero de 2016. 
  6. «SWIFT attackers' malware linked to more financial attacks». Symantec. 26 de mayo de 2016. Consultado el 19 de octubre de 2017. 
  7. a b c Ashok, India (17 de octubre de 2017). «Lazarus: North Korean hackers suspected to have stolen millions in Taiwan bank cyberheist» (en inglés). Consultado el 19 de octubre de 2017. 
  8. a b c d e «Two bytes to $951m». baesystemsai.blogspot.co.uk. Consultado el 15 de mayo de 2017. 
  9. «Cyber attacks linked to North Korea, security experts claim» (en inglés británico). 16 de mayo de 2017. Consultado el 16 de mayo de 2017. 
  10. Solon, Olivia (15 de mayo de 2017). «WannaCry ransomware has links to North Korea, cybersecurity experts say» (en inglés británico). ISSN 0261-3077. Consultado el 16 de mayo de 2017. 
  11. GReAT - Kaspersky Lab's Global Research & Analysis Team (3 de marzo de 2017). «Lazarus Under The Hood». Securelist. Consultado el 16 de mayo de 2017. 
  12. The WannaCry Ransomware Has a Link to Suspected North Korean Hackers (3 de marzo de 2017). «The Wired». Securelist. Consultado el 16 de mayo de 2017. 
  13. «More evidence for WannaCry 'link' to North Korean hackers» (en inglés británico). 23 de mayo de 2017. Consultado el 23 de mayo de 2017. 
  14. «The Sony Hackers Were Causing Mayhem Years Before They Hit the Company». WIRED (en inglés estadounidense). Consultado el 1 de marzo de 2016. 
  15. «Sony Got Hacked Hard: What We Know and Don't Know So Far». WIRED (en inglés estadounidense). Consultado el 1 de marzo de 2016. 
  16. «A Breakdown and Analysis of the December, 2014 Sony Hack». www.riskbasedsecurity.com. Archivado desde el original el 4 de marzo de 2016. Consultado el 1 de marzo de 2016. 
  17. Van Buskirk, Peter (1 de marzo de 2016). «Five Reasons Why Operation Blockbuster Matters» (en inglés estadounidense). Archivado desde el original el 7 de julio de 2017. Consultado el 16 de mayo de 2017. 
  18. «Novetta Exposes Depth of Sony Pictures Attack — Novetta». 24 de febrero de 2016. Archivado desde el original el 27 de enero de 2018. Consultado el 1 de junio de 2020. 
  19. «Kaspersky Lab helps to disrupt the activity of the Lazarus Group responsible for multiple devastating cyber-attacks | Kaspersky Lab». www.kaspersky.com. Archivado desde el original el 1 de septiembre de 2016. Consultado el 29 de febrero de 2016. 
  20. Harley, Nicola (14 de octubre de 2017). «North Korea behind WannaCry attack which crippled the NHS after stealing US cyber weapons, Microsoft chief claims» (en inglés británico). ISSN 0307-1235. Consultado el 14 de octubre de 2017. 
  21. Kharpal, Arjun (17 de enero de 2018). «North Korea government-backed hackers are trying to steal cryptocurrency from South Korean users». Consultado el 17 de enero de 2018. 
  22. a b c Al Ali, Nour (16 de enero de 2018). «North Korean Hacker Group Seen Behind Crypto Attack in South». Consultado el 17 de enero de 2018. 
  23. a b Mascarenhas, Hyacinth (17 de enero de 2018). «Lazarus: North Korean hackers linked to Sony hack were behind cryptocurrency attacks in South Korea» (en inglés). Consultado el 17 de enero de 2018. 
  24. Ashford, Warwick (17 de enero de 2018). «North Korean hackers tied to cryptocurrency attacks in South Korea» (en inglés británico). Consultado el 17 de enero de 2018. 
  25. «South Korean crypto exchange files for bankruptcy after hack» (en inglés). 20 de diciembre de 2017. Consultado el 17 de enero de 2018. 
  26. «Bitcoin exchanges targeted by North Korean hackers, analysts say». MSN Money. 21 de diciembre de 2017. Archivado desde el original el 18 de enero de 2018. Consultado el 17 de enero de 2018. 
  27. «NiceHash security breach investigation update - NiceHash». NiceHash (en inglés). Consultado el 13 de noviembre de 2018. 
  28. Alperovitch, Dmitri (19 de diciembre de 2014). «FBI Implicates North Korea in Destructive Attacks» (en inglés estadounidense). Consultado el 16 de agosto de 2019. 
  29. Volz (16 de septiembre de 2019). «U.S. Targets North Korean Hacking as National-Security Threat». MSN. Consultado el 16 de septiembre de 2019. 
  30. https://www.scmp.com/news/world/article/2131470/north-korea-barely-wired-so-how-did-it-become-global-hacking-power
  31. EST, Jason Murdock On 3/9/18 at 9:54 AM (9 de marzo de 2018). «As Trump cozies up to Kim Jong-un, North Korean hackers target major banks». Newsweek (en inglés). Consultado el 16 de agosto de 2019. 
  32. Meyers, Adam (6 de abril de 2018). «STARDUST CHOLLIMA | Threat Actor Profile | CrowdStrike» (en inglés estadounidense). Consultado el 16 de agosto de 2019. 
  33. https://threatpost.com/lazarus-apt-spinoff-linked-to-banking-hacks/124746/
  34. Huss, Darien. «North Korea Bitten by Bitcoin Bug». proofpoint.com. Consultado el 16 de agosto de 2019. 

Fuentes

[editar]
  • Virus News (2016). "Kaspersky Lab Helps to Disrupt the Activity of the Lazarus Group Responsible for Multiple Devastating Cyber-Attacks", Kaspersky Lab.
  • RBS (2014). "A Breakdown and Analysis of the December, 2014 Sony Hack". RiskBased Security.
  • Cameron, Dell (2016). "Security Researchers Say Mysterious 'Lazarus Group' Hacked Sony in 2014", The Daily Dot.
  • Zetter, Kim (2014). "Sony Got Hacked Hard: What We Know and Don't Know So Far", Wired.
  • Zetter, Kim (2016). "Sony Hackers Were Causing Mayhem Years Before They Hit The Company", Wired.

Enlaces externos

[editar]