Lazarus: plata o plomo 3/3
¡Hola compañeros! Hoy publicamos la tercera y última parte de los artículos sobre el grupo de cibercriminales Lazarus.
Ya os hemos contado qué es Lazarus, algunos de sus ciberataques, quién se sospecha que está detrás del grupo y cuáles son sus últimas inclinaciones a la hora de atacar el ciberespacio. Hoy haremos un repaso y os contaremos más sobre cómo actúan, sus ataques más conocidos y os hablaremos de un libro que pudo servir de inspiración para el grupo de actores.
Cabe mencionar que Lazarus constituye uno de los grupos de actores con mayor repercusión en el contexto internacional actual, gracias a su capacidad de adaptarse a los cambios que se producen en el ciberespacio y de aprovechar las ventajas que ofrece su desarrollo. En tal sentido, se ha observado una creciente inclinación hacia los servicios de intercambio de criptomonedas para obtener beneficios económicos, pero con una novedad: se están sirviendo de puertas traseras instaladas en aplicaciones especialmente diseñadas, que cuentan con apariencia de legitimidad al disponer de certificado digital válido. A través de estas consiguen implementar un malware reutilizado, conocido como Fallchill, con la novedad de que ahora, además de afectar a Windows, también involucra a los sistemas MacOS. Esta ha sido la técnica empleada en el ataque denominado AppleJeus[1], que tuvo lugar en 2018. En esta línea, se encuentra el incidente recientemente detectado relacionado con la aparición de la aplicación JMT Trading[2], creada ad hoc para poder instalar una puerta trasera para MacOS.
De manera general, los grupos de cibercriminales tratan de apuntar a los sistemas que son utilizados en un mayor porcentaje por los usuarios, con la finalidad de aumentar su posibilidad de obtener ganancias. Es por ello que, desde sus inicios, el malware ha sido desarrollado principalmente para afectar a dispositivos con sistema operativo Windows, seguido por Linux y, en muy bajo porcentaje, con MacOS. No obstante, el creciente uso de estos sistemas en empresas y gobiernos ha provocado que los grupos de cibercriminales desarrollen herramientas que exploten de manera específica productos MacOS.
En cualquier caso, examinada la trayectoria de Lazarus y teniendo en cuenta sus constantes esfuerzos por obtener financiación, cabe hacerse la siguiente pregunta: ¿estamos ante un grupo meramente criminal, cuyo objetivo es enriquecerse de una manera rápida o, por el contrario, teniendo en cuenta las ganancias que han obtenido mediante la reciente campaña contra el Banco de Chile, estamos a las puertas de un nuevo WannaCry?
Mientras tratamos de obtener una respuesta a esa pregunta, Lazarus sigue desarrollando nuevas técnicas y estrategias que le permitan continuar sirviendo a los propósitos del gobierno norcoreano. Estos siete años, desde su identificación en 2012, han proporcionado a Lazarus madurez y sofisticación, al punto de volverse un referente mundial en el panorama de actores de amenazas actual. Por ello, resulta inevitable hacer alusión a uno de los libros de estrategia militar más destacables: “El arte de la Guerra”, desarrollado por Sun Tzu hace 2500 años. Dicho libro podría ser considerado doctrina ya que, desde entonces, ha venido asentando las bases de esta práctica, y cuyos aportes podrían extrapolarse a diferentes contextos. Al caso, estas citas nos sirven para destacar y reforzar el constante esfuerzo que Lazarus emplea en desarrollar TTP (Tácticas, técnicas y procedimientos) en su lucha constante por mantener su posición en el ciberespacio, o incluso, su posición dentro del contexto político-económico global. El libro establece el engaño como principio necesario para el arte de la guerra, una de las tácticas que mejor caracteriza el modus operandi de este grupo de actores. En este sentido, cabe destacar alguna de sus estrategias maestras, como la que sirvió para sustraer 11 millones al Banco de Chile en 2018. Para conseguirlo, inevitablemente Lazarus ha tenido que poner en práctica alguna de las citas más destacadas del relato: “Se debe ponderar y deliberar antes de hacer un movimiento. Conquistará quien haya aprendido el arte de la desviación” sirviéndose de “un movimiento audaz capaz de dejar al enemigo indefenso o sumido en el desorden y el caos”, y así “someter al enemigo sin luchar”.
Y con este post damos por terminada la serie de tres artículos sobre Lazarus, esperamos que hayáis disfrutado tanto como nosotros y que hayáis aprendido algo nuevo.
¡Hasta pronto compañeros!
[2] https://duo.com/decipher/lazarus-group-deploying-new-macos-backdoor
Investigación realizada por el Área de Inteligencia de Entelgy Innotec Security