Las mil caras del cibercrimen internacional

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Corea del Norte es sospechada de albergar grupos ciber criminales, que operan internacionalmente contra empresas internacionales o naciones con un fin determinado, obtener fondos.

 

Para enmascarar la actividad maliciosa, los cibercriminales -como el Grupo Lazarus-utilizaron una arquitectura con tres capas de servidores comprometidos con canales encriptados SSL establecidos entre ellos.

Los atacantes lograron el anonimato empleando un servicio VPN (red privada virtual por sus siglas en inglés) legítimo: SoftEther VPN.

En algunos casos, también utilizaron servidores web que formaban parte de la infraestructura atacada.

Para controlar las máquinas infectadas, los atacantes emplearon herramientas multimodal para complicar el análisis de malware.

Siguiendo esta metodología, lograron llevar a cabo varios ataques exitosos sin aprovechar grietas del día 0.

Lazarus demostró un enfoque flexible a los ataques mediante la aplicación de diferentes herramientas de hacking, lo que impidió su detección por soluciones de seguridad de los dispositivos.

Conexiones a Corea del Norte

Según nuestra investigación, los actores amenazadores estaban conectados a la capa C&C final (Layer3) de dos direcciones IP de Corea del Norte: 210.52.109.22 y 175.45.178.222. La segunda dirección IP refiere al distrito de Potonggang (Pyongyang), quizás por casualidad, donde se encuentra la Comisión de Defensa Nacional, el cuerpo militar más alto en Corea del Norte.

Los analistas internacionales confirmaron pruebas adicionales de que Lazarus se conecta con cibercriminales norcoreanos, esto fue a través del análisis de fuentes públicas.

Encontraron un reportaje de una agencia de televisión surcoreana, Arirang, fechada en 2016, sobre un ataque a las estaciones de televisión y bancos de Corea del Sur como parte de la operación de DarkSeoul.

Este ataque fue realizado por piratas informáticos de Corea del Norte e investigado por la Agencia Nacional de Policía de Corea del Sur, que detectó dos direcciones IP utilizadas por los atacantes para controlar el malware: 175.45.178.19 y 175.45.178.97.

Se sospecha que Lazarus es controlado por el Bureau 121, una división de la Oficina General de Reconocimiento, agencia de inteligencia de Corea del Norte. La cual es responsable de llevar a cabo campañas cibernéticas militares.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris