Group-IB demuestra conexión de estos cyber gánster con Corea del Norte

Group-IB demuestra conexión de estos cyber gánster con Corea del Norte
Los investigadores lograron identificar que el grupo estaba operando desde el distrito de Potonggang, Corea del Norte.

Informe del Group-IB: Hackers norcoreanos atacan a bancos mundiales por robo de dinero y datos.

El Group-IB ha publicado un informe detallado que no deja duda de que Lazarus, una banda cibernética que intentó Para robar cerca de mil millones de dólares del Banco Central de Bangladesh y comprometido a una serie de bancos polacos, estaba conectado a Corea del Norte.

El análisis profundo de la infraestructura de Comando y Control de los ciberdelincuentes, así como información detallada sobre la Inteligencia de Amenazas, permitió a los investigadores probar que los ataques fueron gestionados desde Pyohgyang.

¿Qué es Lazarus?

Lazarus (también conocida como Dark Seoul Gang) es conocida por sus ataques DDoS y hackeos a instituciones gubernamentales, militares y aeroespaciales de todo el mundo.

El primer ataque conocido en el que el grupo es responsable es conocido como “Operación Troy”, que tuvo lugar a partir de 2009-2012. Se trataba de una campaña de ciberespionaje que utilizó técnicas no sofisticadas de DDoS para atacar al gobierno surcoreano en Seúl.

También fueron responsables de los ataques en 2011 y 2013.

Un hack notable que el grupo es conocido por el ataque de 2014 a Sony Pictures, cuando la información personal sobre los empleados y sus familias, los correos electrónicos internos, copias de las películas inéditas de Sony, de esa fecha, así como otro tipo información fue publicada.

El ataque a Sony utilizó técnicas más sofisticadas y colocó al grupo en el radar como un actor malicioso de importancia.

Cuando aumentó la presión económica mundial sobre Corea del Norte, Lazarus cambió su enfoque hacia las organizaciones financieras internacionales para obtener ganancias financieras y de espionaje.

En 2016, el grupo intentó robar alrededor de 951 millones de dólares del Banco Central de Bangladesh vulnerando los procesos de SWIFT, sin embargo, un error en una solicitud de pago redujo los ingresos de los criminales a sólo 81 millones de dólares.

¿Qué tiene de especial el informe del Group-IB?

Los informes anteriores se centraron en el análisis de malware, o en la atribución basada en el análisis de malware.

Sin embargo, dado que la atribución basada en similitudes de código de malware no siempre es confiable, el Group-IB se ha centrado en la investigación de infraestructura.

Los expertos de la compañía realizaron una investigación en profundidad sobre la actividad de Lazarus y obtuvieron una visión única de su compleja infraestructura de botnets construida por el grupo de hackers para llevar a cabo sus ataques.

A pesar de la compleja arquitectura de tres capas, canales encriptados, servicios VPN y otras técnicas avanzadas, los investigadores lograron identificar que el grupo estaba operando desde el distrito de Potonggang, Corea del Norte.

Tal vez por casualidad, donde se encontraba la Comisión de Defensa Nacional – anteriormente el más alto cuerpo militar en Corea del Norte.

El Lazarus está controlado por la Oficina 121, una división de la Oficina General de Reconocimiento, una agencia de inteligencia de Corea del Norte.

Dmitry Volkov, jefe del Departamento de Inteligencia de Amenazas y сo-fundador de Group-IB comentó: “Nuestra investigación comprobó que el grupo norcoreano Lazarus está tomando medidas de precaución extraordinarias, dividiendo los ataques en varias etapas y lanzando manualmente todos los módulos. De modo que incluso si se detecta el ataque, los investigadores de seguridad necesitarían mucho tiempo y esfuerzo para investigarlo. Para enmascarar la actividad maliciosa, los hackers usaron una infraestructura C & C de tres capas y fingieron ser rusos“.

A través del análisis de redes comprometidas, el Group-IB identificó que utilizaron direcciones IP de universidades de Estados Unidos, Canadá, Gran Bretaña, India, Bulgaria, Polonia, Turquía, también de compañías farmacéuticas en Japón y China y subredes gubernamentales en varios países.

Teniendo en cuenta el fortalecimiento de las sanciones económicas contra Corea del Norte, así como la tensión geopolítica en la región, esperamos nueva ola de ataques de Lazarus contra las instituciones financieras mundiales. Dicho esto, recomendamos encarecidamente a los bancos que aprendan más sobre las tácticas y técnicas de los ataques específicos, aumenten el conocimiento corporativo de la seguridad cibernética y cooperen con las compañías que proporcionan la Inteligencia de amenazas relevante“, agregó Volkov.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)