Lazarus Group (también conocido como Guardianes de la Paz o Equipo Whois [1] [2] [3] ) es un grupo de hackers formado por un número desconocido de individuos, supuestamente dirigido por el gobierno de Corea del Norte . Si bien no se sabe mucho sobre el Grupo Lazarus, los investigadores les han atribuido muchos ataques cibernéticos desde 2010. Originalmente un grupo criminal, el grupo ahora ha sido designado como una amenaza persistente avanzada debido a la naturaleza prevista, la amenaza y la amplia gama de métodos utilizados cuando realizando una operación. Los nombres dados por las organizaciones de ciberseguridad incluyen Hidden Cobra (utilizado por el Departamento de Seguridad Nacional de los Estados Unidos para referirse a la actividad cibernética maliciosa del gobierno de Corea del Norte en general) [4] [5] y ZINC o Diamond Sleet [6] (por Microsoft ) . [7] [8] [9] Según el desertor norcoreano Kim Kuk-song, la unidad se conoce internamente en Corea del Norte como Oficina de Enlace 414. [10]
El Grupo Lazarus tiene fuertes vínculos con Corea del Norte . [11] [12] El Departamento de Justicia de Estados Unidos ha afirmado que el grupo es parte de la estrategia del gobierno de Corea del Norte para "socavar la ciberseguridad global... y generar ingresos ilícitos en violación de... sanciones". [13] Corea del Norte se beneficia de la realización de operaciones cibernéticas porque puede presentar una amenaza asimétrica con un pequeño grupo de operadores, especialmente para Corea del Sur. [14]
El primer ataque conocido del que es responsable el grupo se conoce como "Operación Troya", que tuvo lugar entre 2009 y 2012. Se trataba de una campaña de ciberespionaje que utilizaba técnicas poco sofisticadas de ataques distribuidos de denegación de servicio (DDoS) para atacar a los Gobierno de Corea del Sur en Seúl. También fueron responsables de los ataques de 2011 y 2013. Es posible que también estuvieran detrás de un ataque de 2007 contra Corea del Sur, pero eso aún es incierto. [15] Un ataque notable por el que el grupo es conocido es el ataque de 2014 a Sony Pictures . El ataque a Sony utilizó técnicas más sofisticadas y destacó lo avanzado que se ha vuelto el grupo con el tiempo.
Se informó que el Grupo Lazarus robó 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. [16] También han atacado a bancos en Polonia y México. [17] El atraco al banco de 2016 [18] incluyó un ataque al Banco de Bangladesh , en el que se robaron con éxito 81 millones de dólares y se atribuyó al grupo. En 2017, se informó que el grupo Lazarus había robado 60 millones de dólares del Far Eastern International Bank de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos fueron recuperados. [17]
No está claro quién está realmente detrás del grupo, pero informes de los medios han sugerido que el grupo tiene vínculos con Corea del Norte . [19] [20] [17] Kaspersky Lab informó en 2017 que Lazarus tendía a concentrarse en ciberataques de espionaje e infiltración, mientras que un subgrupo dentro de su organización, al que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un vínculo directo ( dirección IP ) entre Bluenoroff y Corea del Norte. [21]
Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “bandera falsa” destinada a engañar a los investigadores y atribuir el ataque a Corea del Norte, dado que el ciberataque mundial del gusano WannaCry también copió técnicas de la NSA. Este ransomware aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017. [22] Symantec informó en 2017 que era "muy probable" que Lazarus estuviera detrás del ataque WannaCry. [23]
El primer gran incidente de piratería informática del Grupo Lazarus tuvo lugar el 4 de julio de 2009 y provocó el comienzo de la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de EE. UU. y Corea del Sur. La andanada de ataques afectó a unas tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro de arranque maestro (MBR).
Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han vuelto mejor desarrolladas y más efectivas. El ataque de marzo de 2011 conocido como "Diez días de lluvia" tuvo como objetivo los medios de comunicación, la infraestructura financiera y la infraestructura crítica de Corea del Sur, y consistió en ataques DDoS más sofisticados que se originaron en computadoras comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul, un ataque de limpieza dirigido a tres empresas de radiodifusión, institutos financieros y un ISP de Corea del Sur. En ese momento, otros dos grupos llamados ″NewRomanic Cyber Army Team y WhoIs Team″ se atribuyeron el mérito de ese ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás de esto en ese momento. Los investigadores conocen hoy al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos. [24]
Los ataques del Grupo Lazarus culminaron el 24 de noviembre de 2014. Ese día, apareció una publicación en Reddit que decía que Sony Pictures había sido pirateada por medios desconocidos; Los perpetradores se identificaron como los "Guardianes de la Paz". Se robaron y filtraron lentamente grandes cantidades de datos en los días posteriores al ataque. Una entrevista con alguien que decía ser parte del grupo afirmó que habían estado desviando datos de Sony durante más de un año. [25]
Los piratas informáticos pudieron acceder a películas inéditas, guiones de determinadas películas, planes para películas futuras, información sobre los salarios de los ejecutivos de la empresa, correos electrónicos y datos personales de unos 4.000 empleados. [26]
Bajo el nombre de ″Operación Blockbuster″, una coalición de empresas de seguridad, liderada por Novetta, [27] [28] pudo analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Utilizando esos datos, el equipo pudo analizar los métodos utilizados por los piratas informáticos. Vincularon al Grupo Lazarus con una serie de ataques mediante un patrón de reutilización de código. [29]
El ciberatraco al Banco de Bangladesh fue un robo que tuvo lugar en febrero de 2016. Hackers de seguridad emitieron treinta y cinco instrucciones fraudulentas a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares estadounidenses desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh. , el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas lograron transferir 101 millones de dólares, de los cuales 20 millones se rastrearon a Sri Lanka y 81 millones a Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un importe de 850 millones de dólares, debido a las sospechas suscitadas por una instrucción mal escrita. [30] [31] Los expertos en ciberseguridad afirmaron que el Grupo Lazarus, con sede en Corea del Norte, estaba detrás del ataque. [32] [33]
El ataque WannaCry fue un ciberataque masivo de ransomware que afectó a instituciones de todo el mundo, desde el NHS en Gran Bretaña hasta Boeing e incluso universidades en China el 12 de mayo de 2017. El ataque duró 7 horas y 19 minutos. Europol estima que afectó a casi 200.000 ordenadores en 150 países, afectando principalmente a Rusia, India, Ucrania y Taiwán. Este fue uno de los primeros ataques de un criptogusano . Los criptogusanos son una clase de malware que viaja entre computadoras usando redes, sin requerir la acción directa del usuario para la infección (en este caso, explota el puerto TCP 445 [34] ). Para infectarse, no es necesario hacer clic en un enlace defectuoso: el malware puede propagarse de forma autónoma, desde una computadora a una impresora conectada y luego a computadoras adyacentes, tal vez conectadas a wifi, etc. La vulnerabilidad del puerto 445 permitió que que el malware se mueva libremente a través de intranets e infecte miles de computadoras rápidamente. El ataque Wannacry fue uno de los primeros usos a gran escala de un criptogusano. [35] [36]
El virus aprovechó una vulnerabilidad en el sistema operativo Windows y luego cifró los datos de la computadora a cambio de una suma de Bitcoin por valor de aproximadamente 300 dólares para obtener la clave. Para fomentar el pago, la demanda de rescate se duplicó después de tres días y, si no se paga en una semana, el malware elimina los archivos de datos cifrados. El malware utilizó un software legítimo llamado Windows Crypto, creado por Microsoft para codificar los archivos. Una vez que se completa el cifrado, al nombre del archivo se le agrega "Wincry", que es la raíz del nombre Wannacry. Wincry era la base del cifrado, pero el malware utilizó dos exploits adicionales, EternalBlue y DoublePulsar , para convertirlo en un gusano criptográfico. EternalBlue propaga automáticamente el virus a través de las redes, mientras que DoublePulsar lo activaba en la computadora de la víctima. En otras palabras, EternalBlue obtuvo el enlace infectado a su computadora y DoublePulsar hizo clic en él por usted. [36]
El investigador de seguridad Marcus Hutchins puso fin al ataque cuando recibió una copia del virus de un amigo en una empresa de investigación de seguridad y descubrió un interruptor de apagado codificado en el virus. El malware incluía una verificación periódica para ver si un nombre de dominio específico estaba registrado y solo procedería con el cifrado si ese nombre de dominio no existía. Hutchins identificó esta verificación y luego registró rápidamente el dominio relevante a las 3:03 p.m. UTC. El malware dejó inmediatamente de propagarse e infectar nuevas máquinas. Esto fue muy interesante y es una pista sobre quién creó el virus. Por lo general, detener el malware lleva meses de luchas de ida y vuelta entre los piratas informáticos y los expertos en seguridad, por lo que esta fácil victoria fue inesperada. Otro aspecto muy interesante e inusual del ataque fue que los archivos no eran recuperables después de pagar el rescate: sólo se recaudaron 160.000 dólares, lo que llevó a muchos a creer que los piratas informáticos no buscaban el dinero. [36]
La fácil interrupción y la falta de ingresos llevaron a muchos a creer que el ataque fue patrocinado por el estado; el motivo no fue una compensación financiera, sino simplemente causar caos. Después del ataque, los expertos en seguridad rastrearon el exploit DoublePulsar hasta la NSA de Estados Unidos , donde se había desarrollado el exploit como arma cibernética . Luego, el grupo de hackers Shadow Brokers robó el exploit y primero intentó subastarlo, pero al no poder hacerlo, simplemente lo regaló. [36] Posteriormente, la NSA reveló la vulnerabilidad a Microsoft, quien emitió una actualización el 14 de marzo de 2017, poco menos de un mes antes de que ocurriera el ataque. No fue suficiente. La actualización no era obligatoria y la mayoría de las computadoras con la vulnerabilidad no habían resuelto el problema cuando llegó el 12 de mayo, lo que llevó a la sorprendente efectividad del ataque.
Posteriormente, el Departamento de Justicia de Estados Unidos y las autoridades británicas atribuyeron el ataque WannaCry a la banda de hackers norcoreanos, el grupo Lazarus. [13]
En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lazarus con ataques a usuarios de criptomonedas Bitcoin y Monero , principalmente en Corea del Sur. [37] Se informó que estos ataques eran técnicamente similares a ataques anteriores utilizando el ransomware WannaCry y los ataques a Sony Pictures. [38] Una de las tácticas utilizadas por los piratas informáticos de Lazarus fue explotar las vulnerabilidades en Hangul de Hancom , un software de procesamiento de textos de Corea del Sur. [38] Otra táctica fue utilizar señuelos de phishing que contenían malware y que se enviaron a estudiantes surcoreanos y usuarios de intercambios de criptomonedas como Coinlink. Si el usuario abría el malware, robaba direcciones de correo electrónico y contraseñas. [39] Coinlink negó que su sitio o los correos electrónicos y contraseñas de los usuarios hubieran sido pirateados. [39] El informe concluyó que "Esta campaña de finales de 2017 es una continuación del interés de Corea del Norte en las criptomonedas, que ahora sabemos que abarca una amplia gama de actividades que incluyen minería, ransomware y robo descarado..." [37] El informe También dijo que Corea del Norte estaba utilizando estos ataques con criptomonedas para evitar sanciones financieras internacionales. [40]
Los piratas informáticos norcoreanos robaron 7 millones de dólares de Bithumb , una bolsa de Corea del Sur en febrero de 2017. [41] Youbit, otra empresa de bolsa de Bitcoin de Corea del Sur, se declaró en quiebra en diciembre de 2017 después de que el 17% de sus activos fueran robados por ciberataques tras un ataque anterior. en abril de 2017. [42] Se culpó a Lazarus y a los piratas informáticos norcoreanos por los ataques. [43] [37] Nicehash , un mercado de minería de criptomonedas en la nube, perdió más de 4500 Bitcoin en diciembre de 2017. Una actualización sobre las investigaciones afirmó que el ataque está vinculado al Grupo Lazarus. [44]
A mediados de septiembre de 2019, Estados Unidos emitió una alerta pública sobre una nueva versión de malware denominada ElectricFish. [45] Desde principios de 2019, agentes norcoreanos han intentado cinco grandes robos cibernéticos en todo el mundo, incluido un robo exitoso de 49 millones de dólares de una institución en Kuwait . [45]
Debido a la actual pandemia de COVID-19 , las empresas farmacéuticas se convirtieron en los principales objetivos del Grupo Lazarus. Utilizando técnicas de phishing, los miembros del Grupo Lazarus se hicieron pasar por funcionarios de salud y contactaron a empleados de compañías farmacéuticas con enlaces maliciosos. Se cree que varias organizaciones farmacéuticas importantes fueron el objetivo, pero la única que se ha confirmado fue la anglosueca AstraZeneca . Según un informe de Reuters, [46] el objetivo fue una amplia gama de empleados, incluidos muchos involucrados en la investigación de la vacuna COVID-19. Se desconoce cuál era el objetivo del Grupo Lazarus en estos ataques, pero las posibilidades probables incluyen:
AstraZeneca no ha comentado sobre el incidente y los expertos no creen que ningún dato sensible haya sido comprometido hasta el momento. [ a partir de? ]
En enero de 2021, Google y Microsoft informaron públicamente sobre un grupo de piratas informáticos norcoreanos que atacaban a investigadores de ciberseguridad a través de una campaña de ingeniería social , y Microsoft atribuyó específicamente la campaña al Grupo Lazarus. [47] [48] [49]
Los piratas informáticos crearon múltiples perfiles de usuario en Twitter , GitHub y LinkedIn haciéndose pasar por investigadores legítimos de vulnerabilidades de software , y utilizaron esos perfiles para interactuar con publicaciones y contenidos realizados por otros miembros de la comunidad de investigación de seguridad. Luego, los piratas informáticos se dirigirían a investigadores de seguridad específicos contactándolos directamente con una oferta para colaborar en la investigación, con el objetivo de lograr que la víctima descargue un archivo que contenga malware o visite una publicación de blog en un sitio web controlado por los piratas informáticos. [49]
Algunas víctimas que visitaron la publicación del blog informaron que sus computadoras fueron comprometidas a pesar de usar versiones completamente parcheadas del navegador Google Chrome , lo que sugiere que los piratas informáticos pueden haber utilizado una vulnerabilidad de día cero previamente desconocida que afecta a Chrome para el ataque; [47] sin embargo, Google declaró que no pudieron confirmar el método exacto de compromiso en el momento del informe. [48]
En marzo de 2022, Lazarus Group fue declarado responsable de robar 600 millones de dólares de Ronin Network, un puente utilizado por el juego Axie Infinity . [50] El FBI dijo: "A través de nuestras investigaciones pudimos confirmar que Lazarus Group y APT38, actores cibernéticos asociados con [Corea del Norte], son responsables del robo". [51]
El FBI confirmó que el grupo de ciberactores maliciosos norcoreano Lazarus (también conocido como APT38) fue responsable del robo de 100 millones de dólares en moneda virtual del puente Horizon de Harmony informado el 24 de junio de 2022. [52]
Un informe publicado por la plataforma de seguridad blockchain Immunefi, alegó que Lazarus fue responsable de más de $300 millones en pérdidas en incidentes de piratería criptográfica en 2023. La cantidad representa el 17,6% de las pérdidas totales del año. [50]
En junio de 2023, se robaron más de 100 millones de dólares en criptomonedas a los usuarios del servicio Atomic Wallet, [53] y esto fue confirmado más tarde por el FBI. [54]
En septiembre de 2023, el FBI confirmó que Lazarus Group perpetró un robo de 41 millones de dólares en criptomonedas de Stake.com, un casino en línea y plataforma de apuestas. [55]
El 14 de abril de 2022, la OFAC del Tesoro de EE. UU. colocó a Lazarus en la Lista SDN según la sección 510.214 del Reglamento de Sanciones a Corea del Norte. [56]
Según informes de los medios indios, un intercambio de criptomonedas local llamado WazirX fue pirateado por el grupo y se robaron 234,9 millones de dólares en criptoactivos. [57]
Los piratas informáticos norcoreanos son enviados vocacionalmente a Shenyang , China, para recibir un entrenamiento especial. Están capacitados para implementar malware de todo tipo en computadoras, redes informáticas y servidores. La educación a nivel nacional incluye la Universidad Tecnológica Kim Chaek , la Universidad Kim Il-sung y la Universidad Moranbong, que selecciona a los estudiantes más brillantes de todo el país y los somete a seis años de educación especial. [10] [58]
Se cree que Lázaro tiene dos unidades. [59] [60]
BlueNorOff (también conocido como: APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE [61] ) es un grupo con motivación financiera que es responsable de las transferencias ilegales de dinero mediante la falsificación de órdenes de SWIFT . BlueNorOff también se llama APT38 (de Mandiant ) y Stardust Chollima (de Crowdstrike ). [62] [63]
Según un informe de 2020 del ejército de EE. UU., Bluenoroff tiene alrededor de 1.700 miembros que llevan a cabo delitos cibernéticos financieros concentrándose en la evaluación a largo plazo y explotando las vulnerabilidades y sistemas de las redes enemigas para obtener ganancias financieras para el régimen o tomar el control del sistema. [64] Se dirigen a instituciones financieras e intercambios de criptomonedas, incluidas más de 16 organizaciones en al menos 13 países [a] entre 2014 y 2021: Bangladesh, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam. Se cree que los ingresos se destinarán al desarrollo de tecnología nuclear y de misiles. [61] [60]
El ataque más infame de BlueNorOff fue el robo al Banco de Bangladesh en 2016 , en el que intentaron utilizar la red SWIFT para transferir ilegalmente cerca de mil millones de dólares desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Después de que se concretaran varias de las transacciones (20 millones de dólares rastreados a Sri Lanka y 81 millones de dólares a Filipinas ), el Banco de la Reserva Federal de Nueva York bloqueó las transacciones restantes, debido a sospechas generadas por un error ortográfico. [60]
El malware asociado con BlueNorOff incluye: " DarkComet , Mimikatz , Nestegg, Macktruck, WannaCry , Whiteout, Quickcafe, Rawhide , Smoothride, TightVNC , Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe , sysmon , Bootwreck, Cleantoad, Closeshave, Dyepack , Hermes , Twopence, Electricfish, Powerratankba y Powerspritz" [61]
Las tácticas comúnmente utilizadas por BlueNorOff incluyen: phishing, puertas traseras, [60] compromiso drive-by, ataque de abrevadero , explotación de versiones inseguras y desactualizadas de Apache Struts 2 para ejecutar código en un sistema, compromiso web estratégico y acceso a Linux. servidores. [61] Se informa que a veces trabajan junto con piratas informáticos criminales. [sesenta y cinco]
AndAriel (también escrito Andarial, [64] y también conocido como: Silent Chollima, Dark Seoul, Rifle y Wassonite [61] ) se caracteriza logísticamente por apuntar a Corea del Sur . Y el nombre alternativo de Ariel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo. [66] Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen el gobierno, la defensa y cualquier símbolo económico. [67] [68]
Según un informe de 2020 del ejército estadounidense, Andarial tiene alrededor de 1.600 miembros cuya misión es el reconocimiento, la evaluación de las vulnerabilidades de la red y el mapeo de la red enemiga para posibles ataques. [64] Además de Corea del Sur, también apuntan a otros gobiernos, infraestructuras y empresas. Los vectores de ataque incluyen: ActiveX, vulnerabilidades en software de Corea del Sur, ataques de abrevadero , phishing (macro), productos de gestión de TI (antivirus, PMS) y cadena de suministro (instaladores y actualizadores). El malware utilizado incluye: Aryan, Gh0st RAT , Rifdoor, Phandoor y Andarat. [61]
En febrero de 2021, el Departamento de Justicia de Estados Unidos acusó a tres miembros de la Oficina General de Reconocimiento , una agencia de inteligencia militar norcoreana, de haber participado en varias campañas de piratería informática de Lazarus: Park Jin Hyok , Jon Chang Hyok y Kim Il Park. Jin Hyok ya había sido acusado formalmente a principios de septiembre de 2018. Los individuos no están bajo custodia de Estados Unidos. Un canadiense y dos chinos también han sido acusados de haber actuado como mulas de dinero y blanqueadores de dinero para el grupo Lazarus. [69] [70]
GRUPO LAZARUS (también conocido como "APPLEWORM"; también conocido como "APT-C-26"; también conocido como "GRUPO 77"; también conocido como "GUARDIANES DE LA PAZ"; también conocido como "COBRA OCULTA"; también conocido como "OFICINA 91"; también conocido como "PUNTO ROJO"; también conocido como "TEMP.HERMIT"; también conocido como "EL NUEVO EQUIPO ROMÁNTICO DEL EJÉRCITO CIBERNÉTICO"; también conocido como "EL EQUIPO DE HACKING DE WHOIS"; también conocido como "ZINC"), distrito de Potonggang...
Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Group 77, Guardian of Peace, Guardians of Peace, Hastati Group, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomantic Cyber Army Team , NICKEL ACADEMY, Operación AppleJesus, Operación DarkSeoul, Operación GhostSecret, Operación Troy, Silent Chollima, Subgrupo: Andariel, Subgrupo: Bluenoroff, Unidad 121, Whois Hacking Team, WHOis Team, ZINC
Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (Gobierno de EE. UU.), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber Army Team, NNPT Group , El Grupo Lazarus, ¿Quién soy yo?, Equipo Whois, ZINC (Microsoft)
{{cite web}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace ){{cite web}}
: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace ){{cite web}}
: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )