Lazarus Group (también conocido por otros apodos como Guardians of Peace o Whois Team ) es un grupo de ciberdelincuencia formado por un número desconocido de personas. Si bien no se sabe mucho sobre el Grupo Lazarus, los investigadores les han atribuido muchos ataques cibernéticos durante la última década. Originalmente un grupo delictivo, el grupo ahora ha sido designado como una amenaza persistente avanzada debido a la naturaleza intencionada, la amenaza y la amplia gama de métodos utilizados al realizar una operación. Los nombres dados por firmas de ciberseguridad incluyen HIDDEN COBRA (por la Comunidad de Inteligencia de Estados Unidos ) [1] y Zinc (porMicrosoft ). [2] [3] [4]
나사로 그룹 | |
Formación | C. 2009 [1] |
---|---|
Tipo | Amenaza Persistente Avanzada |
Propósito | Ciberespionaje , guerra cibernética |
Región | Pyongyang , Corea del Norte |
Métodos | Días cero , phishing , malware , desinformación , puertas traseras , goteros |
Idioma oficial | coreano |
Organización matriz | Oficina General de Reconocimiento Centro de Computación de Corea |
Afiliaciones | Unidad 180 , AndAriel |
Anteriormente llamado | APT38 Dioses Apóstoles Dioses Discípulos Guardianes de la paz Equipo Whois de ZINC Cobra oculta |
El Grupo Lazarus tiene fuertes vínculos con Corea del Norte . [5] [6] La Oficina Federal de Investigaciones de los Estados Unidos dice que el Grupo Lazarus es una "organización de piratería informática patrocinada por el estado" de Corea del Norte. [7]
Historia
El primer ataque conocido del que es responsable el grupo se conoce como "Operación Troya", que tuvo lugar entre 2009 y 2012. Se trataba de una campaña de ciberespionaje que utilizaba técnicas poco sofisticadas de ataques distribuidos de denegación de servicio (DDoS) para atacar al Gobierno de Corea del Sur en Seúl. También fueron responsables de los ataques de 2011 y 2013. Es posible que también estuvieran detrás de un ataque de 2007 contra Corea del Sur, pero eso aún es incierto. [8] Un ataque notable por el que el grupo es conocido es el ataque de 2014 a Sony Pictures . El ataque de Sony utilizó técnicas más sofisticadas y destacó cuán avanzado se ha vuelto el grupo con el tiempo.
Se informó que el Grupo Lazarus robó US $ 12 millones del Banco del Austro en Ecuador y US $ 1 millón del Tien Phong Bank de Vietnam en 2015. [9] También han atacado bancos en Polonia y México. [10] El atraco bancario de 2016 [11] incluyó un ataque al Banco de Bangladesh , robando con éxito 81 millones de dólares y fue atribuido al grupo. En 2017, se informó que el grupo Lazarus había robado US $ 60 millones del Far Eastern International Bank of Taiwan, aunque la cantidad real robada no estaba clara y la mayoría de los fondos se recuperaron. [10]
No está claro quién está realmente detrás del grupo, pero los informes de los medios han sugerido que el grupo tiene vínculos con Corea del Norte . [12] [13] [10] Kaspersky Lab informó en 2017 que Lazarus tendía a concentrarse en ciberataques de espionaje e infiltración, mientras que un subgrupo dentro de su organización, que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un enlace directo ( dirección IP ) entre Bluenoroff y Corea del Norte. [14]
Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “bandera falsa” destinada a engañar a los investigadores y señalar el ataque a Corea del Norte, dado que el ciberataque mundial del gusano WannaCry también copió técnicas de la NSA. Este ransomware aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de piratas informáticos conocido como Shadow Brokers hizo público en abril de 2017. [15] Symantec informó en 2017 que era "muy probable" que Lazarus estuviera detrás del ataque WannaCry. [dieciséis]
2009 Operación Troy
El siguiente incidente tuvo lugar el 4 de julio de 2009 y provocó el inicio de la "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de EE. UU. Y Corea del Sur. La andanada de ataques golpeó alrededor de tres docenas de sitios web y colocó el texto "Memoria del Día de la Independencia" en el registro de inicio maestro (MBR).
2013 Ciberataque de Corea del Sur
Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han desarrollado mejor y son más eficaces. El ataque de marzo de 2011 conocido como "Diez días de lluvia" apuntó a la infraestructura crítica, financiera y de medios de Corea del Sur, y consistió en ataques DDoS más sofisticados que se originaron en computadoras comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul, un ataque de limpiaparabrisas dirigido a tres empresas de radiodifusión, institutos financieros y un ISP de Corea del Sur. En ese momento, otros dos grupos que se llamaban ″ NewRomanic Cyber Army Team y WhoIs Team ″ se atribuyeron el mérito de ese ataque, pero los investigadores no sabían que el Grupo Lazarus estaba detrás de él en ese momento. Los investigadores de hoy conocen al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos. [17]
Finales de 2014: violación de Sony
Los ataques de Lazarus Group culminaron el 24 de noviembre de 2014. Ese día, apareció una publicación de Reddit que decía que Sony Pictures había sido pirateada por medios desconocidos; los perpetradores se identificaron a sí mismos como los "Guardianes de la Paz". Se robaron grandes cantidades de datos y se filtraron lentamente en los días posteriores al ataque. Una entrevista con alguien que afirmaba ser parte del grupo declaró que habían estado extrayendo datos de Sony durante más de un año. [18]
Los piratas informáticos pudieron acceder a películas inéditas, correos electrónicos y la información personal de alrededor de 4.000 empleados. [19]
Investigación de principios de 2016: Operación Blockbuster
Bajo el nombre ″ Operation Blockbuster ″, una coalición de empresas de seguridad, liderada por Novetta , [20] [21] pudo analizar muestras de malware encontradas en diferentes incidentes de ciberseguridad. Con esos datos, el equipo pudo analizar los métodos utilizados por los piratas informáticos. Vincularon al Grupo Lazarus a una serie de ataques a través de un patrón de reutilización de código. [22]
2016: robo cibernético del banco de Bangladesh
El robo cibernético del Banco de Bangladesh fue un robo que tuvo lugar en febrero de 2016. Los piratas informáticos de seguridad emitieron 35 instrucciones fraudulentas a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares de la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas consiguieron transferir 101 millones de dólares, de los cuales 20 millones se remontaron a Sri Lanka y 81 millones a Filipinas. El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un valor de 850 millones de dólares, debido a las sospechas surgidas por una instrucción mal escrita. [23] Los expertos en ciberseguridad afirmaron que el Grupo Lazarus, con sede en Corea del Norte, estaba detrás del ataque. [24] [25]
Ataque WannaCry de mediados de 2017
El malware WannaCry que afectó a hasta 300.000 computadoras en todo el mundo probablemente fue creado por piratas informáticos del sur de China, Hong Kong, Taiwán o Singapur, dijo una compañía de inteligencia de Estados Unidos. [26] El presidente de Microsoft atribuyó el ataque de WannaCry a Corea del Norte. [27]
Ataques de criptomonedas en 2017
En 2018, Recorded Future emitió un informe que vinculaba al Grupo Lazarus con ataques a usuarios de criptomonedas Bitcoin y Monero , principalmente en Corea del Sur. [28] Se informó que estos ataques eran técnicamente similares a los ataques anteriores que usaban el ransomware WannaCry y los ataques a Sony Pictures. [29] Una de las tácticas utilizadas por los hackers y Lázaro era para explotar vulnerabilidades en Hancom 's Hangul , un software de procesamiento de textos de Corea del Sur. [29] Otra táctica fue utilizar señuelos de phishing que contenían malware y que se enviaban a estudiantes y usuarios de Corea del Sur de intercambios de criptomonedas como Coinlink . Si el usuario abrió el malware, robó direcciones de correo electrónico y contraseñas. [30] Coinlink negó que su sitio o los correos electrónicos y contraseñas de los usuarios hubieran sido pirateados. [30] El informe concluyó que "esta campaña de finales de 2017 es una continuación del interés de Corea del Norte en las criptomonedas, que ahora sabemos que abarca una amplia gama de actividades que incluyen minería, ransomware y robo absoluto ..." [28] El informe También dijo que Corea del Norte estaba utilizando estos ataques con criptomonedas para sortear las sanciones financieras internacionales. [31] Los piratas informáticos norcoreanos robaron US $ 7 millones de Bithumb , un intercambio de Corea del Sur en febrero de 2017. [32] Youbit, otra compañía de intercambio de Bitcoin de Corea del Sur, se declaró en bancarrota en diciembre de 2017 después de que el 17% de sus activos fueran robados por ataques cibernéticos. un ataque anterior en abril de 2017. [33] Se culpó a Lázaro y los piratas informáticos norcoreanos de los ataques. [34] [28] Nicehash , un mercado de minería en la nube de criptomonedas perdió más de 4.500 Bitcoin en diciembre de 2017. Una actualización sobre las investigaciones afirmó que el ataque está vinculado al Grupo Lazarus. [35]
Ataques de septiembre de 2019
A mediados de septiembre de 2019, EE. UU. Emitió una alerta pública sobre una nueva versión de malware denominada ELECTRICFISH . [36] Desde principios de 2019, los agentes norcoreanos han intentado cinco grandes robos cibernéticos en todo el mundo, incluido un robo exitoso de 49 millones de dólares de una institución en Kuwait. [36]
Ataques de compañías farmacéuticas a finales de 2020
Debido a la pandemia de COVID-19 en curso , las empresas farmacéuticas se convirtieron en los principales objetivos del Grupo Lazarus. Utilizando técnicas de spear-phishing, los miembros del Grupo Lazarus se hicieron pasar por funcionarios de salud y se pusieron en contacto con los empleados de la compañía farmacéutica con enlaces maliciosos. Se cree que varias grandes organizaciones farmacéuticas fueron el blanco, pero el único que ha sido confirmado fue el de propiedad Angloswedish AstraZeneca . Según un informe de Reuters, [37] se apuntó a una amplia gama de empleados, incluidos muchos involucrados en la investigación de la vacuna COVID-19. Se desconoce cuál fue el objetivo del Grupo Lazarus en estos ataques, pero las posibilidades probables incluyen:
- Robar información confidencial para venderla con fines de lucro.
- Esquemas de extorsión.
- Dar a los regímenes extranjeros acceso a la investigación patentada de COVID-19.
AstraZeneca no ha comentado sobre el incidente y los expertos no creen que ningún dato sensible se haya visto comprometido hasta el momento.
Educación
Los piratas informáticos norcoreanos son enviados vocacionalmente a Shenyang, China, para recibir capacitación especial. Están capacitados para implementar malware de todo tipo en computadoras, redes de computadoras y servidores. La educación incluye el ámbito interno el Chaek Universidad de Tecnología de Kim y Kim Il Sung Universidad . [38]
Unidades
Se cree que Lázaro tiene dos unidades. [39]
AzulNorOff
BlueNorOff es un grupo con motivaciones financieras que es responsable de las transferencias ilegales de dinero mediante la falsificación de pedidos de SWIFT . BlueNorOff también se llama APT38 (por Mandiant ) y Stardust Chollima (por Crowdstrike ). [40] [41]
AndAriel
AndAriel se caracteriza logísticamente por apuntar a Corea del Sur . El nombre alternativo de AndAriel se llama Silent Chollima debido a la naturaleza sigilosa del subgrupo. [42] Cualquier organización en Corea del Sur es vulnerable a AndAriel. Los objetivos incluyen gobierno, defensa y cualquier símbolo económico. [43] [44]
Acusaciones
En febrero de 2021, el Departamento de Justicia de EE. UU. Acusó a tres miembros de la Oficina General de Reconocimiento , una agencia de inteligencia militar de Corea del Norte, por haber participado en varias campañas de piratería de Lazarus: Jin Hyok, Jon Chang Hyok y Kim Il. Park Jin Hyok ya había sido acusado formalmente a principios de septiembre de 2018. Las personas no están bajo custodia de Estados Unidos. Un canadiense y dos chinos también han sido acusados de haber actuado como mulas de dinero y blanqueadores de dinero para el grupo Lazarus. [45]
Ver también
- Relaciones entre Corea del Norte y Estados Unidos
- Ricochet Chollima
- Kimsuky
- Park Jin Hyok
Referencias
- ^ Volz (16 de septiembre de 2019). "EE.UU. apunta a la piratería de Corea del Norte como amenaza para la seguridad nacional" . MSN .
- ^ "Microsoft y Facebook interrumpen el ataque de malware ZINC para proteger a los clientes e Internet de las amenazas cibernéticas en curso" . Microsoft sobre los problemas . 2017-12-19 . Consultado el 16 de agosto de 2019 .
- ^ "El FBI frustra el malware de vigilancia de Corea del Norte vinculado a Lázaro" . ES PRO . Consultado el 16 de agosto de 2019 .
- ^ Guerrero-Saade, Juan Andrés; Moriuchi, Priscilla (16 de enero de 2018). "Corea del Norte apuntó a los usuarios e intercambio de criptomonedas de Corea del Sur en la campaña de finales de 2017" . Futuro grabado . Archivado desde el original el 16 de enero de 2018.
- ^ "¿Quién es Lázaro? Colectivo de ciberdelincuencia más reciente de Corea del Norte" . www.cyberpolicy.com . Consultado el 26 de agosto de 2020 .
- ^ Beedham, Matthew (9 de enero de 2020). "El grupo de hackers norcoreanos Lazarus está utilizando Telegram para robar criptomonedas" . Tenedor duro | La próxima web . Consultado el 26 de agosto de 2020 .
- ^ "PARQUE JIN HYOK" . Oficina Federal de Investigaciones . Consultado el 26 de agosto de 2020 .
- ^ "Los investigadores de seguridad dicen que el misterioso 'Lazarus Group' hackeó Sony en 2014" . El punto diario . Consultado el 29 de febrero de 2016 .
- ^ "El malware de los atacantes de SWIFT vinculado a más ataques financieros" . Symantec . 2016-05-26 . Consultado el 19 de octubre de 2017 .
- ^ a b c Ashok, India (17 de octubre de 2017). "Lázaro: piratas informáticos de Corea del Norte sospechosos de haber robado millones en el ciberheísta del banco de Taiwán" . International Business Times Reino Unido . Consultado el 19 de octubre de 2017 .
- ^ "Dos bytes para $ 951 millones" . baesystemsai.blogspot.co.uk . Consultado el 15 de mayo de 2017 .
- ^ "Ciberataques vinculados a Corea del Norte, afirman expertos en seguridad" . El telégrafo . 2017-05-16 . Consultado el 16 de mayo de 2017 .
- ^ Solon, Olivia (15 de mayo de 2017). "WannaCry ransomware tiene vínculos con Corea del Norte, dicen los expertos en ciberseguridad" . The Guardian . ISSN 0261-3077 . Consultado el 16 de mayo de 2017 .
- ^ GReAT: Equipo global de análisis e investigación de Kaspersky Lab (2017-03-03). "Lázaro bajo el capó" . Securelist . Consultado el 16 de mayo de 2017 .
- ^ El ransomware WannaCry tiene un vínculo con presuntos piratas informáticos norcoreanos (2017-03-03). "The Wired" . Securelist . Consultado el 16 de mayo de 2017 .
- ^ "Más pruebas del 'enlace' de WannaCry a los piratas informáticos de Corea del Norte" . BBC News . 2017-05-23 . Consultado el 23 de mayo de 2017 .
- ^ "Los hackers de Sony estaban causando caos años antes de que golpearan a la empresa" . CON CABLE . Consultado el 1 de marzo de 2016 .
- ^ "Sony se hackeó duro: lo que sabemos y lo que no sabemos hasta ahora" . CON CABLE . Consultado el 1 de marzo de 2016 .
- ^ "Un desglose y análisis del truco de Sony de diciembre de 2014" . www.riskbasedsecurity.com . Consultado el 1 de marzo de 2016 .
- ^ Van Buskirk, Peter (1 de marzo de 2016). "Cinco razones por las que importa la operación Blockbuster" . Novetta . Consultado el 16 de mayo de 2017 .
- ^ "Novetta expone la profundidad del ataque de Sony Pictures - Novetta" . 24 de febrero de 2016.
- ^ "Kaspersky Lab ayuda a interrumpir la actividad del Grupo Lazarus responsable de múltiples ciberataques devastadores | Kaspersky Lab" . www.kaspersky.com . Archivado desde el original el 1 de septiembre de 2016 . Consultado el 29 de febrero de 2016 .
- ^ Schram, Jamie (22 de marzo de 2016). "La congresista quiere una investigación del robo 'descarado' de 81 millones de dólares de la Fed de Nueva York" . New York Post .
- ^ "El grupo del ciberdelincuente Lazarus hackeó el Banco de Bangladesh" . thedailystar.net . 20 de abril de 2017 . Consultado el 13 de mayo de 2021 .
- ^ "Estados Unidos acusa a Corea del Norte por pirateo del Banco de Bangladesh" . finextra.com . El 6 de septiembre de 2018 . Consultado el 13 de mayo de 2021 .
- ^ El análisis lingüístico muestra las notas de rescate de WannaCry escritas por el sur de China, dice la firma de inteligencia de EE. UU. (2017-05-15). "Los tiempos del Estrecho" . Securelist . Consultado el 16 de mayo de 2017 .
- ^ Harley, Nicola (14 de octubre de 2017). "Corea del Norte detrás del ataque de WannaCry que paralizó el NHS después de robar armas cibernéticas de Estados Unidos, afirma el jefe de Microsoft" . El telégrafo . ISSN 0307-1235 . Consultado el 14 de octubre de 2017 .
- ^ a b c Al Ali, Nour (16 de enero de 2018). "Grupo de hackers de Corea del Norte visto detrás de Crypto Attack en el sur" . Bloomberg.com . Consultado el 17 de enero de 2018 .
- ^ a b Kharpal, Arjun (17 de enero de 2018). "Los piratas informáticos respaldados por el gobierno de Corea del Norte están tratando de robar criptomonedas de los usuarios de Corea del Sur" . CNBC . Consultado el 17 de enero de 2018 .
- ^ a b Mascarenhas, Jacinto (17 de enero de 2018). "Lázaro: los piratas informáticos norcoreanos vinculados al hack de Sony estaban detrás de los ataques de criptomonedas en Corea del Sur" . International Business Times Reino Unido . Consultado el 17 de enero de 2018 .
- ^ Limitone, Julia (17 de enero de 2018). "Bitcoin, criptomonedas objetivo de los piratas informáticos de Corea del Norte, revela el informe" . Fox Business . Consultado el 17 de enero de 2018 .
- ^ Ashford, Warwick (17 de enero de 2018). "Hackers norcoreanos vinculados a ataques de criptomonedas en Corea del Sur" . Computer Weekly . Consultado el 17 de enero de 2018 .
- ^ "Archivos de intercambio de cifrado de Corea del Sur en quiebra después de hackeo" . Los tiempos del estrecho . 2017-12-20 . Consultado el 17 de enero de 2018 .
- ^ "Los intercambios de Bitcoin apuntados por los piratas informáticos de Corea del Norte, dicen los analistas" . MSN Money . 2017-12-21. Archivado desde el original el 18 de enero de 2018 . Consultado el 17 de enero de 2018 .
- ^ "Actualización de investigación de violación de seguridad NiceHash - NiceHash" . NiceHash . Consultado el 13 de noviembre de 2018 .
- ^ a b Volz (16 de septiembre de 2019). "EE.UU. apunta a la piratería de Corea del Norte como amenaza para la seguridad nacional" . MSN . Consultado el 16 de septiembre de 2019 .
- ^ Stubbs, Jack (27 de noviembre de 2020). "Exclusivo: presuntos piratas informáticos norcoreanos atacaron al fabricante de vacunas COVID AstraZeneca - fuentes" . Reuters .
- ^ https://www.scmp.com/news/world/article/2131470/north-korea-barely-wired-so-how-did-it-become-global-hacking-power
- ^ EST, Jason Murdock el 9/3/18 a las 9:54 a. M. (9 de marzo de 2018). "Mientras Trump se acerca a Kim Jong-un, los piratas informáticos norcoreanos apuntan a los principales bancos" . Newsweek . Consultado el 16 de agosto de 2019 .
- ^ Meyers, Adam (6 de abril de 2018). "STARDUST CHOLLIMA | Perfil de actor de amenazas | CrowdStrike" . Consultado el 16 de agosto de 2019 .
- ^ https://threatpost.com/lazarus-apt-spinoff-linked-to-banking-hacks/124746/
- ^ Alperovitch, Dmitri (19 de diciembre de 2014). "El FBI implica a Corea del Norte en ataques destructivos" . Consultado el 16 de agosto de 2019 .
- ^ Sang-Hun, Choe (10 de octubre de 2017). "Los piratas informáticos norcoreanos robaron planes militares de Estados Unidos y Corea del Sur, dice el legislador" . The New York Times . ISSN 0362-4331 . Consultado el 16 de agosto de 2019 .
- ^ Huss, Darien. "Corea del Norte mordida por un error de Bitcoin" (PDF) . proofpoint.com . Consultado el 16 de agosto de 2019 .
- ^ Cimpanu, Catalin (17 de febrero de 2021). "Estados Unidos acusa a dos miembros más del grupo de piratería de Corea del Norte 'Lazarus'" . ZDNet . Consultado el 20 de febrero de 2021 .
Fuentes
- Noticias de virus (2016). "Kaspersky Lab ayuda a interrumpir la actividad del grupo Lazarus responsable de múltiples ciberataques devastadores", Kaspersky Lab .
- RBS (2014). "Un desglose y análisis del truco de Sony de diciembre de 2014". Seguridad basada en riesgos.
- Cameron, Dell (2016). "Investigadores de seguridad dicen que el misterioso 'Lazarus Group' hackeó Sony en 2014", The Daily Dot.
- Zetter, Kim (2014). "Sony fue hackeado duro: lo que sabemos y lo que no sabemos hasta ahora", Wired.
- Zetter, Kim (2016). "Los hackers de Sony estaban causando caos años antes de atacar a la empresa", Wired.
enlaces externos
- Acusación de Park Jin Hyok, septiembre de 2018
- Acusación de Park Jin Hyok, Jon Chang Hyok y Kim Il, enero de 2020