Los analistas encuentran conexión entre el ejército norcoreano y la organización de crimeware TrickBot


Los investigadores de SentinelLabs dicen que han encontrado uno de "los primeros vínculos conocidos entre los grupos de delitos informáticos y los actores de los estados nacionales".

Es probable que Corea del Norte suscriba ataques cibernéticos por la minería de Monero
El ingeniero de amenazas de AlienVault, Chris Doman, explica un nuevo informe sobre malware que extrae monedas de Monero y luego las envía a una universidad norcoreana en Pyongyang.

Los analistas de seguridad cibernética de los recientemente formados SentinelLabs dicen que han encontrado algunos de los primeros enlaces duros entre la organización de crimeware TrickBot y Lazarus Group, la división de guerra cibernética de la Oficina General de Reconocimiento de los militares de Corea del Norte.

Desde su debut en el otoño de 2016 como un malware bancario, Trickbot se ha convertido en un ejemplo del creciente movimiento de cibercrimen como servicio, encontraron los investigadores.

El investigador principal de seguridad cibernética de SentinelLabs, Vitali Kremez, dijo que TrickBot es "una solución de software malicioso flexible, universal y basada en módulos" que "ha sido desarrollada para atacar específicamente a las corporaciones" utilizando la automatización, la descentralización y la integración para aumentar el poder de sus ataques.

"Los grupos de cibercrimen como TrickBot, que ofrecen su cibercrimen como servicio a entidades criminales con varias metas y objetivos, siempre están buscando ingresar a nuevos mercados y encontrar otros equipos de piratería para vender sus kits de malware", dijo Kremez.

"Pero debido a que muchos grupos de estados nacionales rara vez tienen objetivos monetarios, ha sido notable que TrickBot se haya afianzado en este campo. La evidencia de que ahora están vinculados a malware persistente de amenazas previas como Lazarus es indicativo de un cambio cuántico en el mundo del cibercrimen ".

Lazarus Group Attacks

El año pasado, el Departamento de Justicia de EE. UU. lanzó una acusación de 179 páginas de Park Jin Hyok, miembro de 34 años de Lazarus Group, por docenas de ataques atribuidos al grupo norcoreano.

Funcionarios estadounidenses dijeron que los ataques incluyeron el brote de ransomware WannaCry de 2017, un intento de pirateo de Lockheed Martin en 2016, el atrevido 2016 Ciberheist del Banco Central de Bangladesh, el truco de Sony Pictures en 2014, infracciones en AMC Theatres, y múltiples ataques contra surcoreanos organizaciones de noticias, bancos y entidades militares durante la última década.

"Los hechos expuestos en esta declaración jurada describen una amplia conspiración de varios años para llevar a cabo intrusiones informáticas y cometer fraude electrónico por parte de conspiradores que trabajan en nombre del gobierno de la República Popular Democrática de Corea, comúnmente conocida como 'RPDC' o 'Corea del Norte', mientras se encuentra allí y en China, entre otros lugares " El agente del FBI Nathan Shields escribió.

"La conspiración apuntó a computadoras pertenecientes a compañías de entretenimiento, instituciones financieras, contratistas de defensa y otros con el propósito de causar daños, extraer información y robar dinero, entre otras razones".

Lazarus Group se ha asociado con otros ataques contra instituciones financieras en todo el mundo desde 2015, y la mayoría Recientemente, robó $ 10 millones del Banco de Chile. Este atraco es lo que ayudó a Kremez y su equipo a conectar a Lázaro con TrickBot, dijo.

VER: Informe especial: Ciberguerra y el futuro de la ciberseguridad (PDF gratuito) (TechRepublic Premium)

En un extenso estudio y publicación de blog correspondiente, los investigadores de SentinelLabs Joshua Platt, Jason Reaves y Kremez explicó la sofisticación y el poder de Lazarus Group y TrickBot mientras detalla los nuevos vínculos entre los dos.

"La capacidad de integrar sin problemas la amenaza persistente avanzada en un modelo de negocio de monetización es evidencia de un cambio cuántico.

"Al lograr esta integración, TrickBot demuestra abiertamente que han alcanzado un nivel cualitativamente nuevo de una empresa de delitos informáticos, que nunca antes se había visto en magnitud y complejidad superando y destronando el legado de sus inspiraciones anteriores y su patio de juegos conocido como 'Business Club'. "

TrickBot inicialmente centró su energía principalmente en atacar bancos australianos, pero luego pasó a golpear a instituciones financieras en Nueva Zelanda, Reino Unido, Alemania y Canadá. Lo que hace que TrickBot sea tan efectivo es su capacidad de agregar más capacidades y evolucionar, dijeron los investigadores.

Para 2017, Kremez dijo que el malware tenía una automatización avanzada incorporada, lo que permite una "propagación similar a un gusano dentro de la red después de la infección inicial".

El informe de los laboratorios de SentinelLabs dijo que TrickBot fue capaz de "Uberizar" su trabajo esencialmente "subarrendando" sus herramientas a otros grupos que intentaban realizar diferentes tipos de ataques, utilizando una combinación de otro malware, incluyendo Emotet altamente infeccioso, IcedID / BokBot y Gozi ISFB v2 ".

"TrickBot y sus módulos actuaron de las siguientes maneras principales: un ladrón de información perfecto que tomaba información personal, que luego se vendía en la clandestinidad y se usaba de manera privada, un banquero, robaba datos corporativos que se monetizaban mediante la toma de cuenta y el fraude de tarjetas, un distribuidor, entregando ransomware y un criptominer ", agrega el informe.

"La descentralización creó un modelo de negocio flexible, donde TrickBot ofreció herramientas de ataque a los proveedores examinados y usó las herramientas de otros para aumentar la infectividad. Al difuminar las líneas entre las infracciones, el robo de datos, el ransomware y el fraude cibernético, el grupo casi ha llegado al pináculo. y casi unió los territorios del delito cibernético. Sin embargo, hubo un desafío final que separó a TrickBot de la perfección: las amenazas persistentes avanzadas ".

Ancla de proyecto

El informe de SentinelLabs decía que normalmente, los desarrolladores de TrickBot no tendrían razón para realizar el tipo de ataques de amenaza persistentes avanzados en los que participan los grupos militares. Las operaciones militares generalmente tienen como objetivo infiltrarse en los sistemas y permanecer ocultos para que puedan obtener la mayor cantidad de información posible durante el tiempo que sea necesario. posible.

Pero Kremez dijo que durante los últimos 18 meses, los miembros del Grupo Lazarus han sido empoderados por sus superiores dentro del "Bureau 121" del ejército de Corea del Norte para atacar los intercambios de criptomonedas, instituciones financieras, organizaciones no gubernamentales e individuos surcoreanos.

"Muchos operadores cibernéticos de Corea del Norte probablemente no solo se autofinancian, sino que también tienen la tarea de obtener ingresos para el régimen de Corea del Norte; el Grupo Lazarus probablemente se ha dirigido a los bancos de intercambio de criptomonedas y usuarios para lograr este objetivo", escriben Platt, Reaves y Kremez en el blog enviar.

Los dos se unieron en un proyecto TrickBot llamado "Anchor". El informe de SentinelLabs describe el proyecto como un juego de herramientas de hackeo de todos los oficios, que brinda a los usuarios "un marco de ataque todo en uno diseñado para comprometer los entornos empresariales utilizando el trabajo personalizado y el existente".

TrickBot pudo hacerse un nombre en la escena del delito cibernético al ser flexible y personalizar sus herramientas para clientes específicos. Anchor es otro paso adelante para el grupo, ofreciendo a sus clientes una "herramienta compleja y sigilosa para la extracción de datos específicos de entornos seguros y persistencia a largo plazo".

"Lógicamente, esta herramienta será una adquisición muy tentadora para grupos de alto perfil, posiblemente de estado-nación. Sin embargo, el Anchor también se utiliza para grandes robos cibernéticos y operaciones de robo de tarjetas en puntos de venta que aprovechan su malware personalizado de raspado de tarjetas. En los grupos de estado-nación, solo unos pocos están interesados ​​tanto en la recopilación de datos como en la ganancia financiera, y uno de ellos es Lázaro ", dice el informe.

En una entrevista, Kremez dijo que su equipo encontró primera evidencia técnica de su tipo conectando la herramienta Lazarus "PowerRatankba" a la infraestructura del proyecto TrickBot "Anchor", entre docenas de otras pruebas.

Kremez señaló el atraco al Banco de Chile y dijo que su equipo encontró evidencia de que Lázaro usaba la infraestructura TrickBot Anchor para desplegar su herramienta "PowerRatankba" pocas horas después del atraco al banco.

"La integración de estas herramientas en Anchor implica que TrickBot pudo superar la barrera final para integrar diferentes dominios en su modelo. Al integrar el enfoque de amenaza persistente avanzada a su modelo, el grupo convirtió su empresa en un ecosistema holístico de cibercrimen, convirtiéndose en un fenómeno esencialmente nuevo ", dijo el informe.

"En este ecosistema, el crimeware y la amenaza persistente avanzada ya no están aislados; por el contrario, cada tipo de crimen crea un valor agregado para el otro, cada uno se convierte en un multiplicador de fuerza".

Ver también

Ciberseguridad, hacker informático con capucha

Getty Images / iStockphoto



Enlace a la noticia original