El precio es muy alto | |
Formación | C. 2009 [1] |
---|---|
Tipo | Amenaza persistente avanzada |
Objetivo | Ciberespionaje , ciberguerra |
Región | Distrito de Potonggang , Pyongyang , Corea del Norte |
Métodos | Zero-days , spearphishing , malware , desinformación , backdoors , droppers |
Idioma oficial | coreano |
Organización de padres | Oficina General de Reconocimiento Centro de Computación de Corea Comando de Guerra Cibernética No Servia |
Afiliaciones | Oficina 121 , Unidad 180 , AndAriel |
Anteriormente llamado | APT38 Apóstoles de Dios Discípulos de Dios Guardianes de la Paz Equipo Whois de ZINC Cobra Oculta |
El Grupo Lazarus (también conocido como Guardianes de la Paz o Equipo Whois [1] [2] [3] ) es un grupo de hackers formado por un número desconocido de individuos, presuntamente dirigido por el gobierno de Corea del Norte . Aunque no se sabe mucho sobre el Grupo Lazarus, los investigadores les han atribuido muchos ciberataques desde 2010. Originalmente un grupo criminal, el grupo ha sido designado ahora como una amenaza persistente avanzada debido a la naturaleza prevista, la amenaza y la amplia gama de métodos utilizados al realizar una operación. Los nombres dados por las organizaciones de ciberseguridad incluyen Hidden Cobra (utilizado por el Departamento de Seguridad Nacional de los Estados Unidos para referirse a la actividad cibernética maliciosa del gobierno de Corea del Norte en general) [4] [5] y ZINC o Diamond Sleet [6] (por Microsoft ). [7] [8] [9] Según el desertor norcoreano Kim Kuk-song, la unidad se conoce internamente en Corea del Norte como Oficina de Enlace 414. [10]
El Grupo Lazarus tiene fuertes vínculos con Corea del Norte . [11] [12] El Departamento de Justicia de los Estados Unidos ha afirmado que el grupo es parte de la estrategia del gobierno norcoreano para "socavar la ciberseguridad global... y generar ingresos ilícitos en violación de... las sanciones". [13] Corea del Norte se beneficia de realizar operaciones cibernéticas porque puede presentar una amenaza asimétrica con un pequeño grupo de operadores, especialmente para Corea del Sur. [14]
El primer ataque conocido del que es responsable el grupo se conoce como "Operación Troya", que tuvo lugar entre 2009 y 2012. Se trató de una campaña de ciberespionaje que utilizó técnicas poco sofisticadas de ataques distribuidos de denegación de servicio (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También fueron responsables de ataques en 2011 y 2013. Es posible que también estuvieran detrás de un ataque de 2007 dirigido a Corea del Sur, pero eso aún es incierto. [15] Un ataque notable por el que el grupo es conocido es el ataque de 2014 a Sony Pictures . El ataque a Sony utilizó técnicas más sofisticadas y destacó lo avanzado que se ha vuelto el grupo con el tiempo.
Se informó que el Grupo Lazarus robó 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. [16] También han atacado bancos en Polonia y México. [17] El robo bancario de 2016 [18] incluyó un ataque al Banco de Bangladesh , en el que lograron robar 81 millones de dólares y que se atribuyó al grupo. En 2017, se informó que el grupo Lazarus había robado 60 millones de dólares del Far Eastern International Bank de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos fueron recuperados. [17]
No está claro quién está realmente detrás del grupo, pero los informes de los medios han sugerido que el grupo tiene vínculos con Corea del Norte . [19] [20] [17] Kaspersky Lab informó en 2017 que Lazarus tendía a concentrarse en ciberataques de espionaje e infiltración, mientras que un subgrupo dentro de su organización, al que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un vínculo directo ( dirección IP ) entre Bluenoroff y Corea del Norte. [21]
Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “falsa bandera” destinada a engañar a los investigadores y culpar del ataque a Corea del Norte, dado que el ciberataque mundial del gusano WannaCry también copió técnicas de la NSA. Este ransomware aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017. [22] Symantec informó en 2017 que era “muy probable” que Lazarus estuviera detrás del ataque WannaCry. [23]
El primer ataque de piratería informática importante del grupo Lazarus tuvo lugar el 4 de julio de 2009 y dio inicio a la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de Estados Unidos y Corea del Sur. La serie de ataques afectó a unas tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro de arranque maestro (MBR).
Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han desarrollado mejor y son más efectivas. El ataque de marzo de 2011 conocido como "Ten Days of Rain" tuvo como objetivo los medios de comunicación, las finanzas y la infraestructura crítica de Corea del Sur, y consistió en ataques DDoS más sofisticados que se originaron en computadoras comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013, con DarkSeoul, un ataque de borrado que tuvo como objetivo tres empresas de radiodifusión, instituciones financieras y un ISP de Corea del Sur. En ese momento, otros dos grupos que se hacían pasar por "NewRomanic Cyber Army Team y WhoIs Team" se atribuyeron el crédito por ese ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás de él en ese momento. Los investigadores hoy conocen al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos. [24]
Los ataques del Grupo Lazarus culminaron el 24 de noviembre de 2014. Ese día, apareció una publicación en Reddit que decía que Sony Pictures había sido hackeada por medios desconocidos; los perpetradores se identificaron como los "Guardianes de la Paz". Grandes cantidades de datos fueron robadas y filtradas lentamente en los días posteriores al ataque. Una entrevista con alguien que afirmaba ser parte del grupo afirmó que habían estado extrayendo datos de Sony durante más de un año. [25]
Los piratas informáticos pudieron acceder a películas inéditas, guiones de ciertas películas, planes para futuras películas, información sobre los salarios de los ejecutivos de la empresa, correos electrónicos y la información personal de alrededor de 4.000 empleados. [26]
Bajo el nombre de “Operación Blockbuster”, una coalición de empresas de seguridad, liderada por Novetta, [27] [28] logró analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Con esos datos, el equipo pudo analizar los métodos utilizados por los piratas informáticos. Vincularon al Grupo Lazarus con una serie de ataques a través de un patrón de reutilización de código. [29]
El robo cibernético al Banco de Bangladesh se produjo en febrero de 2016. Los piratas informáticos emitieron treinta y cinco instrucciones fraudulentas a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh, el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas lograron transferir 101 millones de dólares, de los cuales 20 millones se rastrearon hasta Sri Lanka y 81 millones hasta Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un valor de 850 millones de dólares, debido a las sospechas que suscitó una instrucción mal escrita. [30] [31] Los expertos en ciberseguridad afirmaron que el Grupo Lazarus, con sede en Corea del Norte, estaba detrás del ataque. [32] [33]
El ataque WannaCry fue un ciberataque masivo de ransomware que afectó a instituciones de todo el mundo, desde el NHS en Gran Bretaña hasta Boeing e incluso a universidades en China el 12 de mayo de 2017. El ataque duró 7 horas y 19 minutos. Europol estima que afectó a casi 200.000 computadoras en 150 países, afectando principalmente a Rusia, India, Ucrania y Taiwán. Este fue uno de los primeros ataques de un criptogusano . Los criptogusanos son una clase de malware que viaja entre computadoras usando redes, sin requerir una acción directa del usuario para la infección, en este caso, explotando el puerto TCP 445. [ 34] Para infectarse, no es necesario hacer clic en un enlace malicioso: el malware puede propagarse de forma autónoma, desde una computadora a una impresora conectada, y luego a computadoras adyacentes, tal vez conectadas al wifi, etc. La vulnerabilidad del puerto 445 permitió que el malware se moviera libremente a través de intranets e infectara miles de computadoras rápidamente. El ataque Wannacry fue uno de los primeros usos a gran escala de un criptogusano. [35] [36]
El virus aprovechó una vulnerabilidad del sistema operativo Windows y luego encriptó los datos del ordenador a cambio de una suma de Bitcoin de aproximadamente 300 dólares para obtener la clave. Para incentivar el pago, la demanda de rescate se duplicó después de tres días y, si no se pagaba en una semana, el malware borraba los archivos de datos encriptados. El malware utilizó un software legítimo llamado Windows Crypto, creado por Microsoft para codificar los archivos. Una vez que se completó el cifrado, el nombre del archivo tiene "Wincry" adjunto, que es la raíz del nombre Wannacry. Wincry fue la base del cifrado, pero el malware utilizó dos exploits adicionales, EternalBlue y DoublePulsar , para convertirlo en un criptogusano. EternalBlue propaga automáticamente el virus a través de las redes, mientras que DoublePulsar lo activa en el ordenador de la víctima. En otras palabras, EternalBlue obtuvo el enlace infectado en su ordenador y DoublePulsar hizo clic en él por usted. [36]
El investigador de seguridad Marcus Hutchins puso fin al ataque cuando recibió una copia del virus de un amigo de una empresa de investigación de seguridad y descubrió un interruptor de seguridad codificado en el virus. El malware incluía una comprobación periódica para ver si se había registrado un nombre de dominio específico y solo procedía a la encriptación si ese nombre de dominio no existía. Hutchins identificó esta comprobación y luego registró rápidamente el dominio relevante a las 3:03 pm UTC. El malware dejó de propagarse inmediatamente y de infectar nuevas máquinas. Esto fue muy interesante y es una pista sobre quién creó el virus. Por lo general, detener el malware requiere meses de lucha de ida y vuelta entre los piratas informáticos y los expertos en seguridad, por lo que esta victoria fácil fue inesperada. Otro aspecto muy interesante e inusual del ataque fue que los archivos no se pudieron recuperar después de pagar el rescate: solo se recaudaron $160,000, lo que llevó a muchos a creer que los piratas informáticos no estaban detrás del dinero. [36]
El fácil interruptor de apagado y la falta de ingresos llevaron a muchos a creer que el ataque fue patrocinado por el estado; el motivo no fue una compensación financiera, sino simplemente causar caos. Después del ataque, los expertos en seguridad rastrearon el exploit DoublePulsar hasta la NSA de los Estados Unidos, donde el exploit había sido desarrollado como un arma cibernética . El exploit fue robado por el grupo de piratas informáticos Shadow Brokers, que primero intentó subastarlo, pero después de no hacerlo simplemente lo regaló. [36] Posteriormente, la NSA reveló la vulnerabilidad a Microsoft, que emitió una actualización el 14 de marzo de 2017, poco menos de un mes antes de que ocurriera el ataque. No fue suficiente. La actualización no era obligatoria y la mayoría de las computadoras con la vulnerabilidad no habían resuelto el problema cuando llegó el 12 de mayo, lo que llevó a la asombrosa efectividad del ataque.
El Departamento de Justicia de Estados Unidos y las autoridades británicas atribuyeron posteriormente el ataque WannaCry al grupo de piratas informáticos norcoreano Lazarus. [13]
En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lazarus con ataques a usuarios de criptomonedas Bitcoin y Monero principalmente en Corea del Sur. [37] Se informó que estos ataques eran técnicamente similares a ataques anteriores que usaban el ransomware WannaCry y los ataques a Sony Pictures. [38] Una de las tácticas utilizadas por los piratas informáticos de Lazarus fue explotar vulnerabilidades en Hangul de Hancom , un software de procesamiento de textos de Corea del Sur. [38] Otra táctica fue utilizar señuelos de phishing que contenían malware y que se enviaban a estudiantes surcoreanos y usuarios de intercambios de criptomonedas como Coinlink. Si el usuario abría el malware, robaba direcciones de correo electrónico y contraseñas. [39] Coinlink negó que su sitio o los correos electrónicos y contraseñas de los usuarios hubieran sido pirateados. [39] El informe concluyó que “Esta campaña de finales de 2017 es una continuación del interés de Corea del Norte en las criptomonedas, que ahora sabemos que abarca una amplia gama de actividades que incluyen la minería, el ransomware y el robo directo...” [37] El informe también dijo que Corea del Norte estaba usando estos ataques a las criptomonedas para evitar sanciones financieras internacionales. [40]
Los piratas informáticos norcoreanos robaron 7 millones de dólares estadounidenses de Bithumb , una plataforma de intercambio de Corea del Sur, en febrero de 2017. [41] Youbit, otra empresa de intercambio de Bitcoin de Corea del Sur, se declaró en quiebra en diciembre de 2017 después de que el 17% de sus activos fueran robados por ciberataques tras un ataque anterior en abril de 2017. [42] Lazarus y los piratas informáticos norcoreanos fueron culpados por los ataques. [43] [37] Nicehash , un mercado de minería en la nube de criptomonedas, perdió más de 4500 Bitcoin en diciembre de 2017. Una actualización sobre las investigaciones afirmó que el ataque está vinculado al Grupo Lazarus. [44]
A mediados de septiembre de 2019, Estados Unidos emitió una alerta pública sobre una nueva versión de malware denominada ElectricFish. [45] Desde principios de 2019, agentes norcoreanos han intentado cinco robos cibernéticos importantes en todo el mundo, incluido un robo exitoso de 49 millones de dólares de una institución en Kuwait . [45]
Debido a la actual pandemia de COVID-19 , las compañías farmacéuticas se convirtieron en objetivos importantes para el Grupo Lazarus. Utilizando técnicas de phishing, los miembros del Grupo Lazarus se hicieron pasar por funcionarios de salud y contactaron a empleados de compañías farmacéuticas con enlaces maliciosos. Se cree que varias organizaciones farmacéuticas importantes fueron atacadas, pero la única que se ha confirmado fue AstraZeneca , de propiedad anglo-sueca . Según un informe de Reuters, [46] una amplia gama de empleados fueron atacados, incluidos muchos involucrados en la investigación de la vacuna COVID-19. Se desconoce cuál era el objetivo del Grupo Lazarus en estos ataques, pero las posibilidades probables incluyen:
AstraZeneca no ha hecho comentarios sobre el incidente y los expertos no creen que ningún dato sensible haya sido comprometido hasta el momento. [ ¿a fecha? ]
En enero de 2021, Google y Microsoft informaron públicamente sobre un grupo de piratas informáticos norcoreanos que atacaban a investigadores de ciberseguridad a través de una campaña de ingeniería social ; Microsoft atribuyó específicamente la campaña al Grupo Lazarus. [47] [48] [49]
Los piratas informáticos crearon varios perfiles de usuario en Twitter , GitHub y LinkedIn haciéndose pasar por investigadores legítimos de vulnerabilidades de software , y utilizaron esos perfiles para interactuar con publicaciones y contenidos realizados por otros miembros de la comunidad de investigación de seguridad. Los piratas informáticos se dirigían a investigadores de seguridad específicos contactándolos directamente con una oferta para colaborar en la investigación, con el objetivo de lograr que la víctima descargue un archivo que contenga malware o visite una publicación de blog en un sitio web controlado por los piratas informáticos. [49]
Algunas víctimas que visitaron la publicación del blog informaron que sus computadoras se vieron comprometidas a pesar de usar versiones completamente parcheadas del navegador Google Chrome , lo que sugiere que los piratas informáticos pueden haber utilizado una vulnerabilidad de día cero previamente desconocida que afectaba a Chrome para el ataque; [47] sin embargo, Google declaró que no pudieron confirmar el método exacto de compromiso en el momento del informe. [48]
En marzo de 2022, el Grupo Lazarus fue declarado responsable de robar 620 millones de dólares en criptomonedas de la Red Ronin, un puente utilizado por el juego Axie Infinity . [50] El FBI dijo: "A través de nuestras investigaciones pudimos confirmar que el Grupo Lazarus y APT38, actores cibernéticos asociados con [Corea del Norte], son responsables del robo". [51]
El FBI confirmó que el grupo de actores cibernéticos maliciosos norcoreanos Lazarus (también conocido como APT38) fue responsable del robo de 100 millones de dólares en moneda virtual del puente Horizon de Harmony, reportado el 24 de junio de 2022. [52]
Un informe publicado por la plataforma de seguridad blockchain Immunefi afirmó que Lazarus fue responsable de más de 300 millones de dólares en pérdidas en incidentes de piratería de criptomonedas en 2023. La cantidad representa el 17,6% de las pérdidas totales del año. [50]
En junio de 2023, más de 100 millones de dólares en criptomonedas fueron robados a los usuarios del servicio Atomic Wallet, [53] y esto fue confirmado posteriormente por el FBI. [54]
En septiembre de 2023, el FBI confirmó que el Grupo Lazarus perpetró un robo de 41 millones de dólares en criptomonedas de Stake.com, una plataforma de apuestas y casino en línea. [55]
El 14 de abril de 2022, la OFAC del Departamento del Tesoro de Estados Unidos incluyó a Lazarus en la Lista SDN de conformidad con la sección 510.214 del Reglamento de Sanciones contra Corea del Norte. [56]
Según informes de los medios indios, un intercambio de criptomonedas local llamado WazirX fue hackeado por el grupo y se robaron activos criptográficos por valor de 234,9 millones de dólares. [57]
Los piratas informáticos norcoreanos son enviados vocacionalmente a Shenyang , China, para recibir un entrenamiento especial. Se los entrena para implementar malware de todo tipo en computadoras, redes informáticas y servidores. La educación en el país incluye la Universidad Tecnológica Kim Chaek , la Universidad Kim Il-sung y la Universidad Moranbong, que selecciona a los estudiantes más brillantes de todo el país y los somete a seis años de educación especial. [10] [58]
Se cree que Lázaro tiene dos unidades. [59] [60]
BlueNorOff (también conocido como: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE [61] ) es un grupo con motivaciones financieras que es responsable de las transferencias ilegales de dinero a través de órdenes falsificadas de SWIFT . BlueNorOff también se llama APT38 (por Mandiant ) y Stardust Chollima (por Crowdstrike ). [62] [63]
Según un informe de 2020 del ejército estadounidense, Bluenoroff tiene alrededor de 1.700 miembros que llevan a cabo delitos financieros cibernéticos concentrándose en la evaluación a largo plazo y explotando las vulnerabilidades y los sistemas de la red enemiga para obtener ganancias financieras para el régimen o para tomar el control del sistema. [64] Tienen como objetivo instituciones financieras y bolsas de criptomonedas, incluidas más de 16 organizaciones en al menos 13 países [a] entre 2014 y 2021: Bangladesh, Chile, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía y Vietnam. Se cree que los ingresos se destinan al desarrollo de tecnología nuclear y de misiles. [61] [60]
El ataque más infame de BlueNorOff fue el robo al Banco de Bangladesh en 2016 , en el que intentaron usar la red SWIFT para transferir ilegalmente cerca de 1.000 millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Después de que se realizaran varias de las transacciones (20 millones de dólares rastreados hasta Sri Lanka y 81 millones de dólares hasta Filipinas ), el Banco de la Reserva Federal de Nueva York bloqueó las transacciones restantes, debido a las sospechas generadas por un error ortográfico. [60]
El malware asociado con BlueNorOff incluye: " DarkComet , Mimikatz , Nestegg, Macktruck, WannaCry , Whiteout, Quickcafe, Rawhide , Smoothride, TightVNC , Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe , sysmon , Bootwreck, Cleantoad, Closeshave, Dyepack , Hermes, Twopence, Electricfish, Powerratankba y Powerspritz" [61]
Las tácticas comúnmente utilizadas por BlueNorOff incluyen: phishing, puertas traseras, [60] ataque drive-by, ataque watering hole , explotación de versiones inseguras y desactualizadas de Apache Struts 2 para ejecutar código en un sistema, ataque web estratégico y acceso a servidores Linux. [61] Se informa que a veces trabajan junto con piratas informáticos criminales. [65]
AndAriel (también escrito Andarial, [64] y también conocido como: Silent Chollima, Dark Seoul, Rifle y Wassonite [61] ) se caracteriza logísticamente por su objetivo en Corea del Sur . El nombre alternativo de AndAriel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo. [66] Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen el gobierno, la defensa y cualquier símbolo económico. [67] [68]
Según un informe de 2020 del Ejército de los EE. UU., Andarial tiene alrededor de 1600 miembros cuya misión es el reconocimiento, la evaluación de las vulnerabilidades de la red y el mapeo de la red enemiga para un posible ataque. [64] Además de Corea del Sur, también apuntan a otros gobiernos, infraestructuras y empresas. Los vectores de ataque incluyen: ActiveX, vulnerabilidades en el software de Corea del Sur, ataques de abrevadero , phishing selectivo (macro), productos de gestión de TI (antivirus, PMS) y cadena de suministro (instaladores y actualizadores). El malware utilizado incluye: Aryan, Gh0st RAT , Rifdoor, Phandoor y Andarat. [61]
En febrero de 2021, el Departamento de Justicia de Estados Unidos acusó a tres miembros del Buró General de Reconocimiento , una agencia de inteligencia militar de Corea del Norte, de haber participado en varias campañas de piratería informática de Lazarus: Park Jin Hyok , Jon Chang Hyok y Kim Il Park. Jin Hyok ya había sido acusado a principios de septiembre de 2018. Los individuos no están bajo custodia estadounidense. Un canadiense y dos chinos también han sido acusados de haber actuado como mulas de dinero y blanqueadores de dinero para el grupo Lazarus. [69] [70]
GRUPO LAZARUS (también conocido como "APPLEWORM"; también conocido como "APT-C-26"; también conocido como "GRUPO 77"; también conocido como "GUARDIANS OF PEACE"; también conocido como "HIDDEN COBRA"; también conocido como "OFFICE 91"; también conocido como "RED DOT"; también conocido como "TEMP.HERMIT"; también conocido como "THE NEW ROMANTIC CYBER ARMY TEAM"; también conocido como "WHOIS HACKING TEAM"; también conocido como "ZINC"), Distrito de Potonggang...
Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Grupo 77, Guardián de la Paz, Guardianes de la Paz, Grupo Hastati, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomantic Cyber Army Team, NICKEL ACADEMY, Operación AppleJesus, Operación DarkSeoul, Operación GhostSecret, Operación Troy, Silent Chollima, Subgrupo: Andariel, Subgrupo: Bluenoroff, Unidad 121, Equipo de piratería Whois, Equipo WHOis, ZINC
Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardianes de la Paz, HIDDEN COBRA (Gobierno de EE. UU.), High Anonymous, Labyrinth Chollima (CrowdStrike), Equipo del Nuevo Ejército Cibernético Romanic, Grupo NNPT, El Grupo Lazarus, ¿Quién soy yo?, Equipo Whois, ZINC (Microsoft)
{{cite web}}
: CS1 maint: varios nombres: lista de autores ( enlace ){{cite web}}
: CS1 maint: nombres numéricos: lista de autores ( enlace ){{cite web}}
: CS1 maint: numeric names: authors list (link)