Las muestras de malware relacionadas a este grupo han sido detectadas en México, Brasil, Chile, Costa Rica, Uruguay, entre otros
Kaspersky Lab ha publicado los resultados de una investigación realizada a lo largo de un año sobre la actividad de Lazarus, un grupo de hackers supuestamente responsable del robo de $81 millones de dólares del Banco Central de Bangladesh en 2016. A partir del análisis forense de los artefactos dejados por el grupo en los bancos de Asia Sudoriental y Europa, Kaspersky Lab ha logrado pleno conocimiento de las herramientas maliciosas que el grupo utiliza y cómo opera cuando ataca a instituciones financieras, casinos, desarrolladores de software para empresas inversionistas y negocios de cripto divisas de todo el mundo. Este conocimiento ayudó a impedir a por los menos dos otras operaciones que tenían el objetivo de robar una gran cantidad de dinero de instituciones financieras.
En febrero de 2016, un grupo de hackers (no identificados en ese momento) intentó robar $851 millones de dólares y logró transferir US$81 millones del Banco Central de Bangladesh. Este es considerado como uno de los mayores y más exitosos atracos cibernéticos realizados hasta ahora. Investigaciones adicionales realizadas por analistas de diferentes compañías de seguridad de TI, entre ellas Kaspersky Lab, revelaron que es altamente probable que los ataques fueran dirigidos por Lazarus, un conocido grupo de espionaje y sabotaje cibernético, responsable de una serie de ataques frecuentes y devastadores; también conocido por atacar empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países de todo el mundo desde el año 2009.
A pesar de varios meses de inactividad posterior al ataque de Bangladesh, el grupo de Lazarus seguía activo. Se estaban preparando para llevar a cabo una nueva operación y robar dinero a otros bancos y, una vez listos, ya tenían en la mira a una institución financiera del sudeste asiático. Al ser obstaculizados por los productos de Kaspersky Lab y la investigación posterior, se retrasaron algunos meses más y entonces decidieron cambiar su operación hacia Europa. Pero también aquí sus intentos fueron interrumpidos al ser detectados por el software de seguridad de Kaspersky Lab, apoyado por la rápida respuesta a incidentes, el análisis forense y la ingeniería inversa de los investigadores principales de la compañía.
La fórmula Lazarus
Según los resultados del análisis forense de estos ataques, los investigadores de Kaspersky Lab reconstruyeron el modus operandi del grupo.
- Brecha inicial: Violan un solo sistema dentro de un banco, ya sea con código vulnerable accesible de manera remota (por ejemplo, en un servidor web) o mediante un ataque de watering hole, plantado en un sitio web benigno. Cuando se visita este sitio, la computadora de la víctima (empleado del banco) recibe el malware, lo que trae componentes adicionales.
- Se establece un punto de apoyo: Luego, el grupo migra a otros sitios anfitriones de bancos e implementa puertas traseras persistentes, ya que el malware les permite ir y venir cuando quieran.
- Reconocimiento interno: Posteriormente, el grupo pasa días y semanas aprendiendo detalles de la red e identificando recursos valiosos. Uno de estos recursos puede ser un servidor para hacer copias de seguridad, donde se almacena la información de autenticación; un servidor para el correo o el controlador de dominio completo con claves para cada «puerta» de la empresa; así como servidores que almacenan o procesan registros de transacciones financieras.
- Entrega y robo: Finalmente, implementan un malware especial que puede evitar las funciones de seguridad interna del software financiero y emitir transacciones fraudulentas en nombre del banco.
Geografía y Atribución
Los ataques investigados por los expertos de Kaspersky Lab duraron varias semanas. Sin embargo, los atacantes pudieron operar sin ser detectados durante meses. Por ejemplo, durante el análisis del incidente en el sudeste de Asia, los expertos descubrieron que los hackers pudieron penetrar la red bancaria al menos siete meses antes del día en que el equipo de seguridad del banco solicitó respuesta a un incidente. En realidad, el grupo tenía acceso a la red de ese banco, incluso antes del día del incidente de Bangladesh.
De acuerdo con los datos de Kaspersky Lab, desde diciembre de 2015, las muestras de malware relacionadas con la actividad del grupo Lazarus aparecieron en instituciones financieras, casinos, desarrolladores de software para compañías inversionistas y negocios de cripto divisas en Brasil, México, Chile, Costa Rica, Uruguay, Corea, Bangladesh, India, Vietnam, entre otros países. Las muestras más recientes conocidas por Kaspersky Lab fueron detectadas en marzo de 2017, lo que demuestra que los atacantes no tienen intención de detenerse.
A pesar de que los atacantes fueron lo suficientemente cuidadosos para limpiar sus huellas, cometieron un grave error en al menos un servidor que penetraron de otra campaña, tras haber dejado un artefacto importante. Para preparar la operación, el servidor se configuró como centro de mando y control del malware. Las primeras conexiones realizadas el día de la configuración provienen de unos pocos servidores VPN/proxy que indican un período de prueba para el servidor C&C. Sin embargo, hubo una breve conexión ese día que provenía de una variedad de direcciones IP muy raras en Corea del Norte.
Según los investigadores, esto podría significar varias cosas:
- Los atacantes se conectaron desde esa dirección IP en Corea del Norte.
- Esta era una operación de bandera falsa cuidadosamente planeada por otro grupo.
- Alguien en Corea del Norte accidentalmente visitó el URL de comando y control.
El grupo Lazarus invierte mucho en nuevas variantes de su malware. Durante meses intentaron crear un conjunto de herramientas maliciosas que serían invisibles para las soluciones de seguridad, pero cada vez que lo hacían, los especialistas de Kaspersky Lab lograban identificar características únicas de cómo creaban su código, permitiéndoles seguir rastreando las nuevas muestras. Ahora, los atacantes han estado relativamente tranquilos, lo que probablemente significa que están haciendo una pausa para volver a revisar su arsenal.
Los productos de Kaspersky Lab detectan y bloquean exitosamente el malware utilizado por el agente de amenazas de Lazarus con los siguientes nombres específicos:
- HEUR:Trojan-Banker.Win32.Alreay*
- Trojan-Banker.Win32.Agent*
La compañía también emite indicadores de fallos cruciales (IOC, por sus siglas en inglés) y otros datos para ayudar a las organizaciones a buscar rastros de estos grupos de ataque en sus redes corporativas.