Operación de hacking norcoreana detrás del ataque a diversos bancos

Se revelan detalles sobre esta operación de robos bancarios masivos

Los investigadores de una firma de seguridad y forense digital han revelado al público algunos detalles sobre cómo un equipo de hackers norcoreano, al que han bautizado APT 38, ha intentado robar cerca de 1.1 mil millones de dólares de las instituciones financieras de todo el mundo. El grupo de expertos había atribuido anteriormente estos ataques cibernéticos contra el sistema de comunicación interbancaria internacional SWIFT en varios bancos a un grupo de hacking norcoreano conocido como TEMP.

“Este grupo de hackers prácticamente está financiando al régimen norcoreano”, dijo Nalani Fraser, uno de los encargados de esta investigación, refiriéndose al grupo APT 38.

Generalmente se agrupa a los hackers auspiciados por Corea del Norte bajo el nombre de Lazarus Group, el grupo detrás del robo, filtración y eliminación de datos en Sony Pictures Entertainment de 2014 y el ransomware WannaCry de 2017. Fue después del robo de datos en Sony que el régimen norcoreano comenzó a dividir a sus hackers en diferentes grupos, según el análisis de expertos en forense digital. El incremento en las actividades ilegales de APT 38 coincidió con las presiones financieras debido a las sanciones económicas internacionales contra Corea del Norte.

Los investigadores consideran que el grupo APT 38 se distingue por el uso de herramientas personalizadas y se enfoca en las operaciones de las organizaciones financieras. APT 38 emplea al menos 39 conjuntos de herramientas y es conocido por realizar análisis profundo de sus objetivos, incluso permaneciendo dentro de la infraestructura de sus víctimas durante largo tiempo antes de realizar cualquier acción. Durante este periodo, ATP 38 recolecta credenciales de acceso, realiza mapeos y busca vulnerabilidades en el sistema.

“Una vez los vimos aprovechar un programa de archivo legítimo inherente a un host comprometido, utilizándolo para transferir y eliminar el malware”, mencionó uno de los expertos. “En otra ocasión, los vimos incorporar una IP de proxy codificada en su malware que en realidad era una IP específica del entorno de la víctima”.

Para transferir los fondos robados, APT 38 utiliza el llamado malware DYEPACK para llevar a cabo las transacciones fraudulentas, que en su mayoría se realizaron en incrementos menos visibles y se enviaron a países con leyes de lavado de dinero laxas. Posteriormente, los hackers eliminaban cualquier rastro del ataque, incluyendo los historiales de registros, al tiempo que distraían a los equipos de seguridad de los bancos ataques de ransomware. En una ocasión, alrededor de 10 mil estaciones de trabajo y servidores de un banco fueron desconectados por la operación de limpieza destructiva de APT 38 para cubrir sus huellas.

Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, el malware usado por APT 38 es muy difícil de detectar, además es realmente complicado removerlo de un sistema, ya que se ejecuta en la memoria, nunca en otros componentes.