El Grupo Lazarus (también conocido como los "Guardianes" o "Equipo Paz o Whois") es un grupo de hackers formado por un número desconocido de individuos, supuestamente controlado por el gobierno de Corea del Norte.
Aunque se sabe poco sobre el grupo, los investigadores les han atribuido varios ciberataques desde 2010.
Originalmente un grupo criminal, el grupo ahora ha sido designado como un grupo de amenaza persistente avanzada debido a su intención de ataque, las amenazas que plantea y la variedad de métodos que utiliza en sus operaciones.
Las agencias de ciberseguridad les han dado apodos como "Hidden Cobra" (el nombre utilizado por el Departamento de Seguridad Nacional de Estados Unidos para referirse a las actividades cibernéticas maliciosas lanzadas por el gobierno de Corea del Norte), "ZINC" o "Diamond Sleet" (el nombre de Microsoft). El grupo es conocido dentro de Corea del Norte como la "Oficina de Enlace 414", según Kim Kuk-song, un desertor del país.
El Grupo Lazarus tiene estrechos vínculos con Corea del Norte. El Departamento de Justicia de Estados Unidos afirma que el grupo es parte de una estrategia del gobierno de Corea del Norte para "socavar la ciberseguridad global... y generar ingresos ilícitos en violación de las sanciones".
Corea del Norte puede obtener muchos beneficios realizando operaciones cibernéticas y sólo necesita mantener un equipo muy pequeño para plantear una amenaza asimétrica "global" (especialmente contra Corea del Sur).
Historial de desarrollo
Los primeros ataques conocidos del grupo fueron la Operación Troya de 2009 a 2012. Se trató de una campaña de espionaje cibernético que utilizó técnicas poco sofisticadas de denegación de servicio distribuido (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También lanzaron ataques en 2011 y 2013.
Aunque no se puede confirmar, también es posible que fueran responsables de un atentado en Corea del Sur en 2007. Uno de los ataques más notables del grupo tuvo lugar en 2014, contra Sony Pictures. Este ataque utilizó técnicas más sofisticadas y demostró que el grupo se ha vuelto más maduro con el tiempo.
En 2015, el Grupo Lazarus habría robado 12 millones de dólares del Banco Ostello en Ecuador y 1 millón de dólares del Pioneer Bank en Vietnam. También atacaron bancos en Polonia y México.
En el robo bancario de 2016, atacaron un banco y robaron con éxito 81 millones de dólares, lo que también se cree que fue obra de esta organización.
En 2017, se informó que el Grupo Lazarus robó 60 millones de dólares del Far Eastern Bank de Taiwán, aunque la cantidad real robada no está clara y la mayoría de los fondos se han recuperado.
No está claro quién está realmente detrás del grupo, pero los informes de los medios indican que el grupo tiene estrechos vínculos con Corea del Norte.
En 2017, Kaspersky Lab informó que el Grupo Lazarus tendía a centrarse en ciberataques de espionaje e infiltración, mientras que una suborganización dentro del mismo, que Kaspersky llamó "Bluenoroff", se especializaba en ciberataques financieros. Kaspersky descubrió múltiples ataques alrededor del mundo y encontró un vínculo de dirección IP directo entre Bluenoroff y el país.
Sin embargo, Kaspersky también admitió que la reutilización del código podría ser una "operación de bandera falsa" destinada a engañar a los investigadores y culpar a Corea del Norte. Después de todo, el ataque a la red global del gusano "WannaCry" copió la tecnología de la Agencia de Seguridad Nacional de Estados Unidos.
Este ransomware explota la vulnerabilidad "EternalBlue" de la NSA, que se hizo pública en abril de 2017 por un grupo de hackers llamado "The Shadow Brokers". En 2017, Symantec informó que el ataque "WannaCry" probablemente fue llevado a cabo por el Grupo Lazarus.
Operación Troya 2009
El primer incidente de piratería informática importante del Grupo Lazarus ocurrió el 4 de julio de 2009, marcando el inicio de la "Operación Troya". El ataque utilizó el malware "MyDoomsday" y "Bulldozer" para lanzar un ataque DDoS a gran escala pero poco sofisticado contra sitios web en Estados Unidos y Corea del Sur. El ataque tuvo como objetivo unos 36 sitios web e implantó el texto "Conmemoración del Día de la Independencia" en el registro de arranque maestro (MBR).
Ciberataques en Corea del Sur en 2013 (Operación 1/Seúl Oscuro)
Con el tiempo, los ataques del grupo se han vuelto más sofisticados; sus técnicas y herramientas se han vuelto más maduras y efectivas. Los ataques "Diez días de lluvia" de marzo de 2011 tuvieron como blanco los medios de comunicación, las finanzas y la infraestructura crítica de Corea del Sur mediante ataques DDoS más sofisticados originados en computadoras comprometidas dentro de Corea del Sur. El 20 de marzo de 2013, se lanzó la Operación Dark Seoul, un ataque de borrado de datos dirigido contra tres emisoras de radio y televisión de Corea del Sur, instituciones financieras y un proveedor de servicios de Internet. En ese momento, otros dos grupos que se hacían llamar New Rome Cyber Legion y WhoIs Team se atribuyeron la responsabilidad del ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás del mismo. Hoy, los investigadores saben que el Grupo Lazarus está detrás de estos ataques destructivos.
Finales de 2014: Sony Pictures fue hackeada
El 24 de noviembre de 2014, los ataques del Grupo Lázaro alcanzaron su clímax. Ese mismo día, apareció una publicación en Reddit que decía que Sony Pictures había sido hackeada por medios desconocidos y que los atacantes se hacían llamar "Guardianes de la Paz". Una gran cantidad de datos fue robada y filtrada gradualmente en los días posteriores al ataque. Una persona que dice ser miembro del grupo dijo en una entrevista que habían estado robando datos de Sony durante más de un año.
Los piratas informáticos pudieron acceder a películas inéditas, guiones parciales de películas, planes cinematográficos futuros, información sobre los salarios de los ejecutivos de la empresa, correos electrónicos e información personal de aproximadamente 4.000 empleados.
Investigación de principios de 2016: “Operación Blockbuster”
Bajo el nombre en código de “Operación Blockbuster”, se formó una coalición de empresas de seguridad liderada por Novetta para analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Utilizando estos datos, el equipo analizó el modus operandi de los piratas informáticos. Vincularon al Grupo Lazarus a múltiples ataques a través de patrones de reutilización de código. Por ejemplo, utilizaron un algoritmo de cifrado poco conocido en Internet: el algoritmo de cifrado "Karacas".
Caso de robo bancario por Internet en 2016
En febrero de 2016 se produjo un robo a un banco. Los piratas informáticos enviaron 35 instrucciones fraudulentas a través de la red de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) en un intento de transferir ilegalmente casi mil millones de dólares desde la cuenta del banco central de un país en el Banco de la Reserva Federal de Nueva York. Cinco de las 35 instrucciones fraudulentas transfirieron con éxito 101 millones de dólares, incluidos 20 millones a Sri Lanka y 81 millones a Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las 30 transacciones restantes, por un total de 850 millones de dólares, tras sospechar de una instrucción mal escrita. Los expertos en ciberseguridad dijeron que el Grupo Lazarus, con sede en el país, estaba detrás del ataque.
Ataque de ransomware "WannaCry" en mayo de 2017
El ataque WannaCry fue un ciberataque de ransomware masivo del 12 de mayo de 2017 que afectó a instituciones de todo el mundo, desde el Servicio Nacional de Salud (NHS) del Reino Unido hasta Boeing e incluso algunas universidades chinas. El ataque duró 7 horas y 19 minutos. Europol estima que el ataque afectó a casi 200.000 ordenadores en 150 países, siendo las principales regiones afectadas Rusia, India, Ucrania y Taiwán. Este fue uno de los primeros ataques de gusanos criptográficos.
Un criptogusano es un tipo de malware que se propaga de una computadora a otra a través de una red, infectándolas sin acción directa del usuario; en este ataque, explotó el puerto TCP 445. No es necesario hacer clic en un enlace malicioso para infectar una computadora con el virus; el malware puede propagarse automáticamente, de una computadora a una impresora conectada, a otras computadoras cercanas conectadas a una red inalámbrica, y así sucesivamente. La vulnerabilidad del puerto 445 permitió que el malware se propagara libremente dentro de una red interna, infectando rápidamente miles de computadoras. El ataque WannaCry fue uno de los primeros en utilizar un gusano criptográfico a gran escala.
Cómo ataca: El virus explota una vulnerabilidad en el sistema operativo Windows, luego cifra los datos de la computadora y exige el pago de unos 300 dólares en Bitcoin por la clave de descifrado. Para incentivar a las víctimas a pagar, el rescate se duplica después de tres días y, si no se paga en una semana, el malware elimina los archivos de datos cifrados.
El malware utilizó un software legítimo desarrollado por Microsoft llamado "Windows Crypto" para cifrar archivos. Una vez completado el cifrado, al nombre del archivo se le agregará el sufijo "Wincry", que es el origen del nombre "WannaCry". Wincry fue la base del cifrado, pero el malware también explotó otras dos vulnerabilidades, EternalBlue y DoublePulsar, convirtiéndolo en un criptogusano.
"EternalBlue" puede propagar automáticamente el virus a través de Internet, mientras que "Double Pulsar" hace que el virus se active en la computadora de la víctima. En otras palabras, EternalBlue difundió el enlace infectado a su computadora y Double Pulsar hizo clic en él por usted.
Después de recibir una muestra del virus de un amigo en una empresa de investigación de seguridad, el investigador de seguridad Marcus Hutchins descubrió que en el virus había un "interruptor de seguridad" codificado que terminaba el ataque. El malware verifica periódicamente si un dominio específico ya está registrado y solo procede con la operación de cifrado si el dominio no existe.
Hutchins descubrió el cheque y registró el nombre de dominio a las 3:03 p.m. UTC. El malware dejó inmediatamente de propagarse y de infectar nuevos dispositivos. Esta situación es muy interesante y también proporciona pistas para localizar al creador del virus. Normalmente, bloquear malware requiere meses de batallas de ida y vuelta entre piratas informáticos y expertos en seguridad, por lo que una victoria tan fácil fue inesperada. Otro aspecto inusual de este ataque fue que los archivos no pudieron ser recuperados incluso después de pagar el rescate: los piratas informáticos solo recibieron 160.000 dólares en rescate, lo que llevó a muchos a creer que su propósito no era financiero.
La facilidad con que se pudo descifrar el interruptor de seguridad y los magros pagos de rescate llevaron a muchos a creer que el ataque fue patrocinado por el Estado; su motivo no era una compensación financiera sino crear caos. Después del ataque, los expertos en seguridad rastrearon la vulnerabilidad "Double Pulsar" hasta la Agencia de Seguridad Nacional de Estados Unidos y descubrieron que la vulnerabilidad fue desarrollada originalmente como un arma cibernética.
Posteriormente, el grupo de hackers "Shadow Brokers" robó la vulnerabilidad y primero intentó subastarla, pero fracasó. Al final, simplemente la hicieron pública de forma gratuita. Posteriormente, la NSA informó a Microsoft sobre la vulnerabilidad y Microsoft lanzó una actualización el 14 de marzo de 2017, menos de un mes después del ataque. Pero eso no fue suficiente. Como la actualización no era obligatoria, el 12 de mayo la mayoría de los equipos con la vulnerabilidad aún no habían sido parcheados, lo que provocó que el ataque causara daños asombrosos.
Repercusión: El Departamento de Justicia de Estados Unidos y las autoridades británicas determinaron posteriormente que el ataque WannaCry fue obra del grupo de hackers norcoreano Lazarus Group.
Ataques a criptomonedas en 2017
En 2018, Recorded Future publicó un informe que vinculaba al Grupo Lazarus con ataques contra usuarios de las criptomonedas Bitcoin y Monero, principalmente en Corea del Sur. Según se informa, los ataques fueron técnicamente similares a ataques anteriores que utilizaron el ransomware WannaCry y al ataque contra Sony Pictures.
Una de las tácticas utilizadas por los hackers del Grupo Lazarus fue explotar una vulnerabilidad en el software de procesamiento de textos coreano Hangul (desarrollado por Hancom). Otra táctica es enviar señuelos de phishing que contienen malware, dirigidos a estudiantes surcoreanos y usuarios de intercambios de criptomonedas como Coinlink.
Si un usuario abre el malware, su dirección de correo electrónico y contraseña pueden ser robadas. Coinlink negó que su sitio web o las direcciones de correo electrónico y contraseñas de sus usuarios hubieran sido pirateadas.
El informe concluyó: "Esta serie de ataques a finales de 2017 demostró el creciente interés del país en las criptomonedas, que ahora sabemos que cubren una amplia gama de actividades, incluida la minería, los ataques de ransomware y el robo directo...". El informe también afirmó que el país utilizó estos ataques a las criptomonedas para eludir las sanciones financieras internacionales.
En febrero de 2017, piratas informáticos de un determinado país robaron 7 millones de dólares de la plataforma de comercio de criptomonedas de Corea del Sur, Bithumb. Otra plataforma de intercambio de bitcoins de Corea del Sur, Youbit, sufrió un ataque en abril de 2017 y tuvo que declararse en quiebra en diciembre del mismo año después de que le robaran el 17% de sus activos.
El Grupo Lazarus y hackers chinos fueron acusados de estar detrás de los ataques. En diciembre de 2017, el mercado de minería de criptomonedas en la nube Nicehash perdió más de 4.500 Bitcoins. Una actualización de la investigación reveló que el ataque estaba vinculado al Grupo Lazarus.
Atentados de septiembre de 2019
A mediados de septiembre de 2019, Estados Unidos emitió una alerta pública sobre el descubrimiento de un nuevo malware llamado "ElectricFish". Desde principios de 2019, agentes chinos han llevado a cabo cinco importantes robos cibernéticos en todo el mundo, incluido el exitoso robo de 49 millones de dólares de una institución en Kuwait.
Ataques de fin de año a empresas farmacéuticas en 2020
A medida que la pandemia de COVID-19 continúa propagándose, las compañías farmacéuticas se han convertido en un objetivo importante del Grupo Lazarus. Los miembros del Grupo Lazarus utilizaron técnicas de spear-phishing, haciéndose pasar por funcionarios de salud, para enviar enlaces maliciosos a empleados de compañías farmacéuticas. Se cree que varias grandes empresas farmacéuticas han sido blanco de ataques, pero la única confirmada hasta ahora es la anglo-sueca AstraZeneca.
Según Reuters, muchos empleados fueron atacados, muchos de los cuales estaban involucrados en el desarrollo de la nueva vacuna contra el coronavirus. No está claro cuáles eran los objetivos del Grupo Lazarus al lanzar estos ataques, pero es posible que hayan incluido el robo de información confidencial para obtener ganancias, la ejecución de planes de extorsión y el permiso a regímenes extranjeros para obtener acceso a investigaciones confidenciales relacionadas con el coronavirus. AstraZeneca aún no ha comentado el incidente y los expertos creen que no se ha filtrado ningún dato sensible.
Ataques a investigadores de ciberseguridad en enero de 2021
En enero de 2021, tanto Google como Microsoft informaron públicamente que un grupo de piratas informáticos de un determinado país lanzó un ataque contra investigadores de ciberseguridad mediante medios de ingeniería social. Microsoft señaló claramente que el ataque fue llevado a cabo por el Grupo Lazarus.
Los piratas informáticos crearon múltiples perfiles de usuarios en plataformas como Twitter, GitHub y LinkedIn, haciéndose pasar por investigadores legítimos de vulnerabilidades de software e interactuando con publicaciones y contenidos publicados por otros en la comunidad de investigación de seguridad. Luego se pondrían en contacto directamente con investigadores de seguridad específicos, haciéndose pasar por colaboradores en la investigación, y engañarían a las víctimas para que descargaran archivos que contenían malware o visitaran publicaciones de blogs en sitios web controlados por los piratas informáticos.
Algunas víctimas que visitaron la publicación del blog dijeron que sus computadoras estaban comprometidas a pesar de usar versiones completamente parcheadas del navegador Google Chrome, lo que sugiere que los piratas informáticos pueden haber explotado una vulnerabilidad de día cero de Chrome previamente desconocida; sin embargo, Google dijo en el momento del informe que no podía determinar el método específico de compromiso.
Ataque de Axie Infinity en marzo de 2022
En marzo de 2022, el Grupo Lazarus fue acusado de robar 620 millones de dólares en criptomonedas de la red Ronin utilizada por el juego Axie Infinity. "A través de nuestra investigación, determinamos que el Grupo Lazarus y APT 38 (actores cibernéticos asociados con Corea del Norte) estaban detrás del robo", dijo el FBI.
Ataque en el puente Horizon de junio de 2022
El FBI confirmó que el grupo de actores cibernéticos maliciosos norcoreanos Lazarus Group (también conocido como APT 38) estaba detrás del robo de 100 millones de dólares en moneda virtual del Horizon Bridge de Harmony, informado el 24 de junio de 2022.
Otros ataques relacionados con criptomonedas en 2023
Un informe publicado por la plataforma de seguridad blockchain Immunefi afirmó que Lazarus Group causó más de $300 millones en pérdidas en ataques de piratería de criptomonedas en 2023, lo que representa el 17,6% de las pérdidas totales de ese año.
Ataque a Atomic Wallet en junio de 2023: en junio de 2023, se robaron más de 100 millones de dólares en criptomonedas a los usuarios del servicio Atomic Wallet, un incidente que luego confirmó el FBI.
Hackeo de Stake.com en septiembre de 2023: en septiembre de 2023, el FBI confirmó que se robaron 41 millones de dólares en criptomonedas de la plataforma de casino y juegos de azar en línea Stake.com, y que el autor fue Lazarus Group.
Sanciones de EE.UU.
El 14 de abril de 2022, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. agregó a Lazarus Group a la Lista de Nacionales Especialmente Designados (Lista SDN) de conformidad con la Sección 510.214 de las regulaciones de sanciones de un determinado país.
Ataques a criptomonedas en 2024
Según informes de los medios indios, la organización atacó un intercambio de criptomonedas local llamado WazirX y robó activos criptográficos por un valor de 234,9 millones de dólares estadounidenses.
Capacitación de personal
Se rumorea que algunos piratas informáticos norcoreanos serán enviados a Shenyang, China, para recibir capacitación profesional para aprender cómo implantar varios tipos de malware en computadoras, redes informáticas y servidores. En Corea del Norte, la Universidad Tecnológica Kim Chaek, la Universidad Kim Il Sung y la Universidad Mangyongdae son las responsables de las tareas educativas pertinentes. Estas universidades seleccionan a los mejores estudiantes de todo el país y les imparten seis años de educación especial. Además de la educación universitaria, "algunos de los mejores programadores... son enviados a la Universidad Mangyongdae o al Mirim College para realizar estudios superiores".
Rama de la organización
Se cree que el Grupo Lázaro tiene dos ramas.
AzulNorOff
BlueNorOff (también conocido como APT 38, “Starry Sky”, “BeagleBoyz”, “NICKEL GLADSTONE”) es un grupo con motivaciones financieras que realiza transferencias de fondos ilícitas falsificando instrucciones de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT). Mandiant lo llama APT 38, mientras que Crowdstrike lo llama "Stellar Maxima".
Según un informe del Ejército de EE. UU. de 2020, BlueNorOff tiene aproximadamente 1.700 miembros que se centran en la evaluación y explotación a largo plazo de las vulnerabilidades y sistemas de la red enemiga, participando en actividades de ciberdelito financiero para obtener beneficios económicos o controlar sistemas relacionados para el régimen del país. Entre 2014 y 2021, sus objetivos incluyeron 16 instituciones en al menos 13 países, incluidos Bangladesh, Chile, India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía y Vietnam. Se cree que los ingresos ilegales se utilizaron para financiar el desarrollo de tecnología nuclear y de misiles del país.
El ataque más notorio de BlueNorOff fue un robo a un banco en 2016 en el que intentaron transferir ilegalmente casi mil millones de dólares desde la cuenta de un banco central en el Banco de la Reserva Federal de Nueva York a través de la red SWIFT. Después de que algunas de las transacciones se completaron con éxito (20 millones de dólares a Sri Lanka y 81 millones de dólares a Filipinas), el Banco de la Reserva Federal de Nueva York comenzó a sospechar debido a un error ortográfico en una instrucción y bloqueó el resto.
El malware asociado con BlueNorOff incluye: "DarkComet", "Mimikatz", "Nestegg", "Macktruck", "WannaCry", "Whiteout", "Quickcafe", "Rawhide", "Smoothride", "TightVNC", "Sorrybrute", "Keylime", "Snapshot", "Mapmaker", "net.exe", "sysmon", "Bootwreck", "Cleantoad", "Closeshave", "Dyepack", "Hermes", "Twopence", "Electricfish", "Powerratankba" y "Powerspritz".
Los métodos comunes utilizados por BlueNorOff incluyen: phishing, configuración de puertas traseras, explotación de vulnerabilidades, ataques de abrevadero, uso de versiones obsoletas e inseguras de Apache Struts 2 para ejecutar código en el sistema, piratería estratégica de sitios web y acceso a servidores Linux. Hay informes de que a veces trabajan con piratas informáticos criminales.
Y Ariel
AndAriel, también escrito Andarial, también conocido como Silent Chollima, Dark Seoul, Rifle y Wassonite, se caracteriza lógicamente por su objetivo Corea del Sur. El apodo de Andril "Silent Maxima" proviene de la naturaleza reservada del grupo.[70] Cualquier institución en Corea del Sur podría ser atacada por Andril, incluidos departamentos gubernamentales, agencias de defensa y varias entidades económicas importantes.
Según un informe del Ejército de EE. UU. de 2020, Andril tiene aproximadamente 1.600 miembros cuya misión es realizar reconocimientos, evaluar vulnerabilidades de la red y mapear redes enemigas para posibles ataques. Además de Corea del Sur, también atacaron gobiernos, infraestructuras y empresas de otros países. Los métodos de ataque incluyen: explotación de controles ActiveX, vulnerabilidades de software coreano, ataques de tipo watering hole, spear phishing (método de macrovirus), ataques a productos de gestión de TI (como software antivirus, software de gestión de proyectos) y ataques a través de la cadena de suministro (instaladores y actualizadores). El malware utilizado incluía: Aryan, Gh 0 st RAT, Rifdoor, Phandoor y Andarat.
Procesamiento de personas relevantes
En febrero de 2021, el Departamento de Justicia de Estados Unidos acusó a tres miembros de la Oficina General de Reconocimiento, la agencia de inteligencia militar de Corea del Norte (Park Jin Hyok, Jon Chang Hyok y Kim Il Park) por su participación en múltiples actividades de piratería informática por parte del Grupo Lazarus (Lazarus). Park Jin-hyuk fue acusado ya en septiembre de 2018. Ninguno de los sospechosos se encuentra actualmente bajo custodia estadounidense. Además, un ciudadano canadiense y dos chinos también fueron acusados de actuar como transmisores de dinero y lavadores de dinero para el Grupo Lazarus.