Surgen vínculos probables entre Lazarus Group y …



Los investigadores examinan los incidentes de seguridad de los últimos años que aparentemente conectan al Grupo Lazarus de Corea del Norte con atacantes de habla rusa.

El análisis publicado hoy examina los informes de años de incidentes de seguridad para identificar los vínculos entre el Grupo Lazarus, históricamente vinculado a Corea del Norte, y los ciberdelincuentes de habla rusa.

En una reseña de sus hallazgos, Mark Arena, director ejecutivo de la empresa de seguridad Intel 471, sostiene dos suposiciones generalmente aceptadas: que Lazarus Group está vinculado a Corea del Norte y que TrickBot, TA505 y Dridex están conectados a ciberdelincuentes de habla rusa. Para hacer el análisis, Arena exploró fuentes públicas y abiertas de investigadores de seguridad que publicaron información sobre la actividad de amenazas.

El informe concluye que los atacantes norcoreanos probablemente estén activos en la clandestinidad de los ciberdelincuentes y mantengan relaciones con ciberdelincuentes de alto nivel de habla rusa, informa Arena. Además, el malware que se cree que fue utilizado por, y probablemente escrito por, atacantes norcoreanos fue «muy probablemente» distribuido utilizando accesos de pink en poder de ciberdelincuentes de habla rusa.

«(Existe) el vínculo entre TrickBot y los operadores detrás de Trickbot que claramente venden accesos a instituciones financieras a los norcoreanos», dice Arena. «Y el hecho de que tener acceso a los operadores de TrickBot – averiguar quiénes son y a quién contacta para eso – tiene que ser examinado desde la perspectiva de los ciberdelincuentes».

TrickBot es un marco de distribución de malware que no se anuncia en ningún foro o mercado delictivo abierto o solo por invitación, dice Arena. Solo es accesible para delincuentes de primer nivel con una reputación probada obtenida mediante la participación en la compra y venta de productos y servicios en la clandestinidad legal. La capacidad de los atacantes norcoreanos para comunicarse con los operadores y clientes de TrickBot significaría que ellos mismos se consideran ciberdelincuentes de primer nivel.

El Dr. Grey Rattray, socio y fundador de Subsequent Peak LLC, y exdirector de seguridad cibernética del NSC en la Casa Blanca, está de acuerdo. Él llama a Lazarus Group el «actor estratégico emergente y aterrador por excelencia». Si bien quiénes son es un poco indeterminado, «son un grupo con capacidad true» y herramientas de nivel de estado-nación, que utilizarán para lograr cualquier número de objetivos.

«Cualquier grupo organizado utiliza las herramientas menos necesarias», dice Rattray, quien anteriormente ha dirigido el equipo rojo y las operaciones ofensivas. Lazarus Group es capaz de utilizar las herramientas necesarias para lograr cualquier número de objetivos alineados con lo que quiere el régimen de Corea del Norte, agrega. TrickBot es uno de ellos: los investigadores de SentinelOne detectaron a Lazarus Team usando TrickBot para implementar sus propias muestras de malware en la red de una empresa dirigida con el conjunto de herramientas de ataque Anchor.

Basado en los hallazgos de SentinelOne y varios otros equipos de investigación, Intel 471 evalúa un posible vínculo entre los operadores de TrickBot y los atacantes norcoreanos. TrickBot parece ser una fuente de accesos comprometidos que los actores norcoreanos pueden usar, y las personas que lo controlan parecen estar bien versados ​​en identificar organizaciones comprometidas para la actividad de ataque de seguimiento, ya sea a través de Anchor u otras herramientas de intrusión como Metasploit, Cobalt Strike, o Imperio.

El vínculo TrickBot fue el más fuerte descubierto entre los atacantes norcoreanos y los ciberdelincuentes de habla rusa, Arena estados en un website. Él estima que esta actividad ha estado en curso durante más de un año, aunque a pesar de la cantidad de tiempo, no está claro si los actores de habla rusa saben que están vendiendo a los atacantes norcoreanos, quienes, según él, también hablan en ruso.

Intel 471 también exploró las posibles conexiones entre los atacantes norcoreanos y TA505, así como los vínculos con Dridex. Concluyeron que si bien TA505 puede haber trabajado históricamente con atacantes norcoreanos en ocasiones, no parece haber sucedido recientemente. No se encontró ningún vínculo entre Corea del Norte y Dridex.

Lazarus Group y Rusia: objetivos y motivaciones
¿Cómo se benefician Corea del Norte y los atacantes de habla rusa de tal colaboración? Arena comienza con Rusia: «Lo que ganan es su acceso a un equipo o grupo de personas (que) están especializadas en piratear bancos y robar grandes cantidades de dinero», explica.

Si los atacantes de habla rusa venden el acceso a una institución financiera, por ejemplo, podría haber un incentivo monetario si la intrusión tiene éxito. Los actores norcoreanos que roban los fondos pueden devolver un porcentaje si pueden robar grandes sumas de dinero, señala Arena.

Para Corea del Norte, el beneficio es una fuente de acceso a las instituciones financieras. Si bien es probable que tengan la capacidad de ingresar a un banco mediante ingeniería social, el proceso requiere mucho tiempo.

«Si pueden aprovechar los accesos subterráneos de otros delincuentes, eso es algo que no tienen que hacer ellos mismos», agrega Arena.

Desde la perspectiva del delito cibernético, Rusia está «a pasos agigantados» por delante de otras regiones, lo que la convierte en un colaborador atractivo. Si bien algunos actores de habla rusa están motivados por el espionaje, los grupos en este caso están motivados puramente por ganancias financieras, un objetivo que los alinea con los atacantes norcoreanos.

Su enfoque principal está en organizaciones con niveles más bajos de seguridad por ejemplo, Rattray señala el ataque al Banco de Bangladesh, llevado a cabo por APT 38, un grupo de ataque que surgió como su propia entidad del Grupo Lazarus. El aumento de APT 38 coincidió con las sanciones económicas internacionales contra Corea del Norte y las presiones económicas resultantes.

Este fue uno de una gran cantidad de ataques contra nodos débiles en el sistema de pago, dice. Los atacantes no entraron en la organización SWIFT, sino en las personas que utilizan SWIFT para transferir importantes sumas.

«Ese es un tipo de riesgo transformacional», agrega. «Si no podemos estar seguros de que los puntos finales del sistema SWIFT no se corromperán y moverán decenas, si no cientos, de millones de dólares en transacciones fraudulentas, la gente empieza a preocuparse».

Entrar en el Banco de Bangladesh y vivir allí el tiempo suficiente para descubrir cómo impulsar un pago fraudulento es algo que podría hacer una agencia de inteligencia, señala Rattray. Si bien no rastrea grupos de ataque específicos, dice que la colaboración con actores de habla rusa sería una «evolución lógica» para el grupo.

«Lazarus Team ha utilizado y seguirá utilizando las herramientas y técnicas necesarias para la misión», dice. «Operan como un servicio de inteligencia». El grupo ha demostrado ser muy capaz y dispuesto a hacer las cosas más malas, y su agilidad para hacerlo es una ventaja.

Kelly Sheridan es la editora de personalized de Darkish Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique