Corea del Norte ha vuelto a los titulares con la seguridad cibernética debido a sus vínculos con el Grupo Lazarus mientras realiza otro robo cibernético exitoso. Esta vez, el infame Grupo Lazarus, un grupo de piratas informáticos patrocinado por el estado norcoreano muy sospechoso y fundado entre 2007 y 2009, robó 100 millones de dólares en criptomonedas Harmony.
Lo creas o no, este no es el atraco más famoso de este misterioso grupo, que ya ha estado involucrado en ataques a Sony y virus como WannaCry. Entonces, ¿por qué el Grupo Lazarus tiene tanto éxito? Averigüémoslo a continuación.
El grupo Lazarus: ¿Qué tan peligroso es?
La seguridad informática se está convirtiendo en uno de los campos más controvertidos de los últimos años. Cada vez tenemos más dispositivos conectados pero poco nos ha importado protegerlos. Y no solo ocurre con los usuarios sino también con las empresas. Es por eso que los ataques son cada vez más frecuentes y cada vez más poderosos.
Entre las organizaciones que atacan a las corporaciones, el nombre Lazarus (a veces denominado DarkSeoul, Guardians of Peace y Hidden Cobra) ha adquirido una importancia particular entre los piratas informáticos.
Este misterioso grupo de piratas informáticos está detrás de algunos de los ataques informáticos más exitosos y destructivos de los últimos años. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la NSA y el FBI colocan a este grupo en un lugar destacado de la lista de entidades peligrosas para la seguridad nacional. Y lo poco que se sabe sobre ellos es que los miembros probablemente tengan su sede en Corea del Norte, la nación más aislada del mundo.
¿Cuáles son algunos de los ataques más infames del grupo Lazarus?
Su primer ataque fue conocido como "Operación Llama". Se llevó a cabo en 2007 y utilizó malware de primera generación contra el gobierno de Corea del Sur. Luego siguió la "Operación Troya", que sucedió entre 2009 y 2012. Estos dos ataques fueron básicos en complejidad; el grupo eliminó los sitios web del gobierno de Corea del Sur al inundar sus servidores con solicitudes.
En marzo de 2011, el grupo lanzó "Ten Days of Rain", que resultó ser una versión más sofisticada ataque DDoS que se dirigió a la infraestructura crítica, financiera y de medios en Corea del Sur. La infraestructura crítica siempre ha sido un objetivo favorito para los piratas informáticos debido a su importancia para las actividades cotidianas.
El ataque de Sony Pictures
El infame ataque a Sony Pictures se produjo en 2014, lo que llevó al grupo al escenario mundial. Durante un tiempo, este ataque fue considerado uno de los más grandes en la historia del cibercrimen.
Durante el ataque, el Grupo Lazarus robó información confidencial de la empresa, expuso correspondencia confidencial entre niveles de dirección, producción y actuación, e incluso filtrada películas inéditas. Los ataques se lanzaron en represalia por el lanzamiento de la película "La entrevista", que retrata a Kim Jong-un de manera tonta.
Ataques a Bancos y Criptomonedas
En 2015, Lazarus Group también comenzó a atacar bancos en todo el mundo, incluidos Ecuador y Vietnam. Estos fueron el Banco del Austro y el Banco Tien Phong. Además, también ha intentado atacar bancos en Polonia, Chile y México. En 2016, los ataques bancarios del grupo se sofisticaron e incluso lograron robar 81 millones de dólares del Banco de Bangladesh. En 2017, también intentó robar 60 millones de dólares de un banco taiwanés.
Ahora el Grupo Lazarus se está enfocando en los ataques de criptomonedas. El ataque más destacado afectó a los propietarios surcoreanos de Bitcoin y Monero; es por eso que el grupo ahora eligió robar la criptomoneda Harmony.
¿El grupo Lazarus está compuesto por piratas informáticos de Corea del Norte?
Aunque nunca se ha probado, como ocurre con la mayoría de los ataques cibernéticos, los expertos confían mucho en que el grupo opera bajo el apoyo financiero y la solicitud del gobierno de Corea del Norte. Esto explicaría los ataques de Sony Pictures y su constante fijación en atacar la infraestructura y las instituciones de Corea del Sur.
La verdad es que sabemos muy poco del grupo. Se desconoce si estos son de Corea del Norte. soldados cibernéticos o simplemente piratas informáticos internacionales que contrató Corea del Norte; en cualquier caso, la identidad de los miembros del grupo es anónima, aunque una cosa es segura, trabajan como un equipo muy eficaz.
Incluso existe la teoría de que el grupo no tiene nada que ver con Corea del Norte y que esa es simplemente una forma de desviar la atención de su origen natural. En cualquier caso, es poco probable que EE. UU. y el Reino Unido hayan culpado a Corea del Norte por las acciones del grupo en el pasado.
¿Cómo ataca el grupo Lázaro?
Los ataques de Lazarus Group han pasado de lo crudo a lo sofisticado, desde atacar y hacer daño hasta sacar el máximo beneficio posible de cada acción. Aunque el grupo comenzó de manera muy amateur contra Corea del Sur, se ha convertido en una organización muy profesional y peligrosa con objetivos monetarios más específicos.
La NSA, el FBI e incluso la empresa rusa de ciberseguridad Kaspersky Labs han investigado los ataques financieros y el modus operandi del grupo. Los piratas informáticos generalmente comprometen un solo sistema dentro de un banco desde donde proceden a infiltrarse en toda la organización.
Después de la infección inicial, el grupo pasó varias semanas investigando los sistemas de destino, una táctica estándar en la guerra cibernética (el USCYBERCOM opera de manera similar). Una vez que el grupo mapeó perfectamente la organización objetivo y reunió suficientes datos, comenzó a robar dinero.
Si bien los ataques bancarios del grupo son los más notorios, sus piratas informáticos también atacan casinos, negocios de criptomonedas y compañías de inversión. Algunos de sus países de destino favoritos son Corea del Sur, México, Costa Rica, Brasil, Uruguay, Chile, Polonia, India y Tailandia.
Debido a las hambrunas, las sanciones y las políticas económicas fallidas, la moneda de Corea del Norte ha caído constantemente durante las últimas décadas. Mientras que Kim Jong-il (el padre del actual líder, Kim Jong-un) se centró en retener al mundo para pedir rescate a través de ataques y amenazas de adquirir ayuda internacional y aliviar las sanciones, su hijo prefirió redirigir al ejército y la población de Corea del Norte para generar ingresos a partir de extranjero.
Esto ayuda a Corea del Norte a obtener divisas para apoyar su investigación y desarrollo militar y de armas de destrucción masiva y, en cierto modo, fortalecer su moneda y su economía. Hay muchas formas en que Kim Jong-un genera ingresos desde el exterior; por ejemplo, alquila norcoreanos como mano de obra barata, envía médicos y asesores militares al extranjero por un precio, vende armas y utiliza piratas informáticos para robar dinero.
Inicialmente, el ejército de hackers de Corea del Norte (como a veces se denomina al grupo) realizaba principalmente operaciones disruptivas contra los enemigos del estado. Pero cuando Kim Jong-il murió en 2011, Kim Jong-un cambió las políticas, y ahora los piratas informáticos centraron la mayor parte de sus esfuerzos en robar bancos y crear virus ransomware. Es por eso que hasta 2011, el Grupo Lazarus siguió atacando sitios e infraestructura del gobierno de Corea del Sur.
¿Podría ser esto solo el comienzo?
El Grupo Lazarus se ha transformado de un grupo de aficionados a un grupo de piratería patrocinado por el estado capaz y bien financiado. Desde su fundación, los ataques del grupo se han vuelto cada vez más devastadores y complejos, y hasta ahora nadie ha sido capaz de perseguirlos. Sin repercusiones y sin la protección del estado de Corea del Norte, parece que este grupo solo tiene el potencial de crecer y volverse aún más peligroso, pero solo el tiempo lo dirá.