Image
Lazarus: plata o plomo 2/3

Lazarus: plata o plomo 2/3

¡Hola a todos! Hoy vamos a seguir con el artículo sobre Lazarus, que como ya os explicamos en el post del último día, es un grupo de cibercriminales que  realizan ataques en el ciberespacio.

Al final del anterior artículo os contábamos que distintos grupos de investigadores asocian Lazarus al gobierno de Corea del Norte. Y que, últimamente, sus ataques se centran meramente en objetivos económicos, lo cual no desvincula al grupo Lazarus de dicho gobierno. Su objetivo sería realizar acciones lucrativas y relacionadas con el ciberespionaje, sirviendo como financiación al estado norcoreano.

Esto explica que sus últimos ataques se hayan focalizado en el sector financiero, principalmente en América Latina o Asia. Objetivos, a priori, sin grandes dificultades y ampliamente lucrativos. En 2015 realizaron ataques a bancos de Ecuador y Vietnam, que resultaron en pérdidas de 13 millones de dólares[1], así como intentos a las entidades financieras de Polonia o México. Al año siguiente, consiguieron sustraer 81 millones de dólares al Banco Central de Bangladesh[2], evento que se considera el principal punto de inflexión en sus objetivos, al conseguir, por primera vez en la historia de este grupo, llevar a cabo con éxito un robo millonario en el ciberespacio. Posteriormente, en 2018, atacaron a varios bancos en Perú y el Banco de Chile.

De esta nueva línea de ataques, cabe recalcar la atención sobre el ataque al Banco Central de Bangladesh, pues es el primer gran ataque llevado a cabo contra una entidad financiera y con fines meramente lucrativos. Para efectuar este ataque el grupo se sirvió del sistema global de mensajería financiera SWIFT, gracias al cual consiguieron sustraer exitosamente 81 millones de dólares. Es, precisamente, el empleo del sistema SWIFT lo que caracteriza esta nueva oleada, sirviendo como nexo de unión entre todas las ofensivas encuadradas dentro de esta nueva etapa de ciberataques.

Tan solo un año más tarde tiene lugar uno de los ciberataques más famosos a nivel mundial, conocido como la mayor infección de ransomware de la historia y que recibe el nombre de WannaCry, el cual se ha atribuido a este grupo de actores. Este incidente tuvo lugar en mayo de 2017, y la novedad reside en su forma de propagación exponencial sirviéndose del exploit EternalBlue, que afectaba a una vulnerabilidad ya parcheada por Microsoft pero a la cual eran vulnerables un elevado número de dispositivos debido a malas gestiones de los usuarios y administradores de sistemas. Esta campaña logró afectar a más de 230 mil sistemas en 150 países, con graves repercusiones en las principales estructuras estatales como hospitales, servicios, estaciones de metro y tren, aeropuertos, etcétera. El ataque se le atribuye a Lazarus como consecuencia del análisis de las muestras de malware identificadas en las primeras fases del ransomware. Esta campaña reviste interés porque puso de manifiesto que Lazarus pretendía no solo continuar sirviendo de método de financiación para el estado norcoreano, sino que, además, constituyó un acto deliberado de ciberguerra, un aviso de este estado hacia la comunidad internacional que evidenciaba la capacidad operativa de este grupo en el ciberespacio. La consecución de objetivos económicos y el aumento de la capacidad operativa del grupo no son una coincidencia, sino que constituyen una señal del interés de la nación norcoreana por invertir en avances tecnológicos que permitan trasladar el concepto tradicional de guerra al ciberespacio y, a su vez, mostrar su capacidad de influencia en el contexto internacional. En este sentido, WannaCry puede ser considerado una alerta que nos indica que lo que ocurra en el entorno virtual puede tener un impacto significativo sobre el entorno físico.

Volviendo a la línea principal de ciberataques, el 24 de mayo de 2018, el Banco de Chile sufría un problema informático que afectaba a más de 9000 estaciones de trabajo y 500 servidores[3]. Se trataba de un fallo en el MBR (Registro de Arranque Maestro) provocado por un malware denominado KillMBR que impedía el arranque de los sistemas. Esto hizo que el banco fijase toda su atención en solucionar este problema, lo que sirvió al grupo como señuelo para poder llevar a cabo la ofensiva, siendo la primera vez que se empleaba esta novedosa táctica de ataque. Así que, mientras tanto, Lazarus, que había conseguido previamente acceso al servicio de transferencias SWIFT del banco, usó el malware SWAPQ, que no se había utilizado nunca antes y no era detectado por los productos de seguridad como los antivirus, para sustraer 40 millones de dólares enviados a cuentas de tres bancos de Hong Kong. A pesar del intento de distracción de Lazarus, el Banco de Chile se percató de las anomalías en el servicio de transferencias y pudo paralizar gran parte de estas transacciones, limitando las pérdidas a 11 millones, transacciones que, según apuntan posteriores investigaciones, fueron a parar a diferentes empresas de Hong Kong: 5,5 millones de dólares a Ketuo Trade Limited, un millón de dólares a Minerva Holding Limited, 2,3 millones de dólares a Tech Giant Limited y 2 millones de dólares a Boruida Trading Co Limited.

Son precisamente estas transacciones, además de determinadas trazas del ataque, las que han hecho dudar a grandes expertos en ciberseguridad sobre la procedencia de la ofensiva contra el Banco de Chile, hasta tal punto que la atribución a Lazarus no ha sido confirmada del todo. Es una táctica habitual de Lazarus tratar de desviar la atención hacia otros grupos de cibercriminales para evadir las consecuencias jurídicas y legales de las acciones que llevan a cabo. En este sentido, son comunes los ataques de falsa bandera, en los que los actores que llevan a cabo la campaña utilizan determinadas técnicas, tácticas y procedimientos intrínsecos a otro grupo conocido. Por ejemplo, reutilizando un malware estrechamente vinculado a un actor concreto o desarrollando una nueva versión del código sentada sobre las bases establecidas por el actor al que pretenden atribuir el ataque.

Y aquí dejamos el post de hoy, el próximo día publicaremos la tercera y última parte del artículo, en la que seguiremos contándoos todo lo relacionado con Lazarus y sus últimas actuaciones en el ciberespacio. Esperamos que os haya resultado interesante y que lo hayáis disfrutado.

¡Hasta pronto!

[1] https://elpais.com/tecnologia/2016/05/25/actualidad/1464186438_489455.html

[2] https://www.bankinfosecurity.com/bangladesh-bank-heist-lessons-learned-a-9064

[3] https://www.flashpoint-intel.com/blog/banco-de-chile-mbr-killler-reveals-hidden-nexus-buhtrap/


Investigación realizada por el Área de Inteligencia de Entelgy Innotec Security