Image
Lazarus: plata o plomo 1/3

Lazarus: plata o plomo 1/3

¡Hola compañeros! Hoy, desde el área de inteligencia de Entelgy Innotec Security, vamos a publicar el primer artículo de una serie de tres. En el artículo de hoy, analizaremos un grupo muy conocido de cibercriminales que  realizan ataques en el ciberespacio.

Actualmente, estamos cada vez más acostumbrados a noticias relacionadas con ataques en el ciberespacio, si bien no todos estos ataques tienen las mismas repercusiones. Hoy vamos a analizar longitudinalmente uno de los grupos más llamativos dentro de esta esfera, el conocido internacionalmente como grupo Lazarus[1]. Pero, ¿qué tiene este grupo de cibercriminales que lo hace tan característico?

Al grupo, que también recibe otros alias como Hidden Cobra, Guardians of Peace o APT38, se le atribuyen gran número de los ataques más representativos de los últimos tiempos, entre ellos, el famoso ataque a Sony Picture[2], el conocido Wannacry[3] o el ataque al Banco de Chile. La complejidad y el alcance de estas campañas hacen pensar que no se trata de un grupo cualquiera que realiza ataques al azar, sino que detrás de cada uno de los ataques existe una metodología y objetivos muy claramente definidos. Por ello, cabe encuadrar a este grupo de cibercriminales dentro de lo que se conoce como grupo APT (Advanced Persistent Threat por sus siglas en inglés), es decir, se trata de un actor con recursos, especializado en la realización de ataques dirigidos y con un propósito bien definido que, en muchas ocasiones, persigue algo más que la obtención de un beneficio económico.

Distintos grupos de investigadores han asociado este actor al gobierno de Corea del Norte, dado que en sus comienzos sus ataques estuvieron dirigidos principalmente a su país vecino Corea del Sur y a Estados Unidos, reconocidos enemigos de éste. Con el paso del tiempo su lista de adversarios se ha ido ampliando, así como sus objetivos, los cuales han sufrido una transformación a lo largo de la historia que será examinada en este artículo. Para comprender las transformaciones que ha experimentado este grupo, en relación a los objetivos que persigue, es necesario realizar un análisis longitudinal exhaustivo.

Lazarus comienza a ser relevante en el panorama del ciberespacio en 2012, aunque las primeras apariciones apuntan al año 2007. Esto es debido a la naturaleza de los ciberataques que ejecuta, ya que las ofensivas derivadas de este tipo de grupos de cibercriminales se caracterizan por ser meticulosas y por dedicar largos períodos de tiempo a documentarse e infiltrarse en los sistemas de las organizaciones para llevar a cabo sus objetivos sin ser detectados.

En sus inicios Lazarus se caracterizó principalmente por llevar a cabo ataques contra sus enemigos políticos. Durante esta etapa se le atribuyen las siguientes campañas:

  • Operation Flame, en la que se emplea malware de primera generación contra Corea del Sur.
  • Operation Troy, Ten Days of Rain[4], que consistieron en ataques DDoS contra el gobierno del país vecino.
  • Sony Breach, la más destacada de todas ellas que se desarrolló en 2014 y tuvo una gran repercusión mediática.

La trascendencia de esta última campaña, Sony Breach, se debe a que ha sido el mayor ciberataque sufrido por una entidad comercial estadounidense, Sony Picture. Se paralizaron los sistemas informáticos de la compañía y se filtraron gran cantidad de datos como registros financieros y de correos electrónicos privados de ejecutivos de Hollywood, lo que ocasionó pérdidas por un valor superior a 200 millones de dólares a la compañía. Otro de los factores que influyó en el impacto mediático generado por este incidente fue la causa del ataque, el anuncio del estreno de la película “The Interview”, cuyo principal argumento era el intento de asesinato del líder norcoreano Kim Jong-un satirizándolo. La compañía canceló el estreno tras el ataque, puesto que recibieron varias amenazas de ataques terroristas.

Posteriormente, comenzó a transformarse, centrándose en ataques con repercusiones económicas, además de persistir en su esfuerzo por recalcar su posición dentro del ciberespacio. En este punto cabe plantearse una cuestión, ¿por qué en los últimos años se ha observado una transformación en estos ataques cambiando de objetivos meramente políticos a económicos? Su objetivo principal ya no consiste en dañar las estructuras de una entidad determinada, sino que sus ataques ahora apuntan principalmente al sector financiero. Para comprender este cambio hay que tener en cuenta la transformación en el panorama de la política global. En los últimos años, la presión económica global sobre Corea del Norte ha aumentado, por lo que este es el principal motivo por el que se sospecha que Lazarus ha cambiado su enfoque hacia las organizaciones financieras internacionales. El objetivo sería realizar acciones lucrativas y relacionadas con el ciberespionaje, sirviendo como financiación al estado norcoreano. Por tanto, nunca se han desvinculado o han dejado de recibir apoyo del gobierno de Corea del Norte, sino que se han adaptado a las necesidades de una nación que invierte cantidades ingentes de dinero en desarrollo, armamento y capacidad operativa, y que cuenta con escasos apoyos en el contexto internacional. 

Hasta aquí el artículo de hoy, en el próximo seguiremos analizando los ataques más conocidos realizados por el grupo Lazarus en el ciberespacio. Esperamos que os haya resultado interesante, ¡hasta la próxima!

[1] https://attack.mitre.org/groups/G0032/

[2] https://www.kaspersky.es/blog/operation-blockbuster/7797/

[3] https://www.us-cert.gov/ncas/alerts/TA17-132A

[4] https://www.elespanol.com/omicrono/software/20171219/lazarus-hackers-corea-norte-denunciados-eeuu/270724171_0.html


Investigación realizada por el Área de Inteligencia de Entelgy Innotec Security