*

Labs

Hackers de uno de los mayores ataques al mundo financiero, vinculados a Corea del Norte

Serían los responsables de los ataques perpetrados al banco de Bangladesh por la suma de US$ 81 millones. El ataque ocurrió en febrero de 2016. 04 de Abril 2017
Hackers de uno de los mayores ataques al mundo financiero, vinculados a Corea del Norte

En febrero de 2016, un grupo de hackers, no identificados hasta entonces, intentó robar US$851 millones y logró transferir US$81 millones del Banco Central de Bangladesh. Este es considerado como uno de los mayores y más exitosos atracos cibernéticos realizados hasta el momento. Investigaciones adicionales realizadas por analistas de diferentes compañías de seguridad de TI, revelaron que es altamente probable que los ataques fueran dirigidos por Lazarus, un conocido grupo de espionaje y sabotaje cibernético, responsable de una serie de ataques frecuentes y devastadores; también conocido por atacar empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países de todo el mundo desde el año 2009. Se cree que este grupo es el responsable de ataque de 2014 a la empresa de tecnología Sony.

A pesar de varios meses de inactividad posterior al ataque de Bangladesh, el grupo de Lazarus seguía activo. Se estaban preparando para llevar a cabo una nueva operación y robar dinero a otros bancos y, una vez listos, ya tenían en la mira a una institución financiera del sudeste asiático.

¿Cómo trabajan los hackers?

Según los resultados del análisis forense de estos ataques, los investigadores de Kaspersky Lab reconstruyeron el modus operandi del grupo.

Los ataques suelen comenzar con una brecha inicial: violan un solo sistema dentro de un banco, ya sea con código vulnerable accesible de manera remota (por ejemplo, en un servidor web) o mediante un ataque de watering hole, plantado en un sitio web benigno. Cuando se visita este sitio, la computadora de la víctima (empleado del banco) recibe el malware, lo que trae componentes adicionales. Luego se establece un punto de apoyo. Entonces, el grupo migra a otros sitios anfitriones de bancos e implementa puertas traseras persistentes, ya que el malware les permite ir y venir cuando quieran.

Posteriormente, el grupo pasa días y semanas aprendiendo detalles de la red e identificando recursos valiosos. Uno de estos recursos puede ser un servidor para hacer copias de seguridad, donde se almacena la información de autenticación; un servidor para el correo o el controlador de dominio completo con claves para cada "puerta" de la empresa; así como servidores que almacenan o procesan registros de transacciones financieras. Finalmente, implementan un malware especial que puede evitar las funciones de seguridad interna del software financiero y emitir transacciones fraudulentas en nombre del banco.

Gentileza Kaspersky Lab

¿Cómo los encontraron?

De acuerdo con los datos de Kaspersky Lab, desde diciembre de 2015, las muestras de malware relacionadas con la actividad del grupo Lazarus aparecieron en instituciones financieras, casinos, desarrolladores de software para compañías inversionistas y negocios de cripto divisas en Brasil, México, Chile, Costa Rica, Uruguay, Corea, Bangladesh, India, Vietnam, entre otros países. Las muestras más recientes conocidas por Kaspersky Lab fueron detectadas en marzo de 2017, lo que demuestra que los atacantes no tienen intención de detenerse.

A pesar de que los atacantes fueron lo suficientemente cuidadosos para limpiar sus huellas, cometieron un grave error en al menos un servidor que penetraron de otra campaña, tras haber dejado un artefacto importante. Para preparar la operación, el servidor se configuró como centro de mando y control del malware. Las primeras conexiones realizadas el día de la configuración provienen de unos pocos servidores VPN/proxy que indican un período de prueba para el servidor C&C. Sin embargo, hubo una breve conexión ese día que provenía de una variedad de direcciones IP muy raras en Corea del Norte.

Según los investigadores, esto podría significar que los atacantes se conectaron desde esa dirección IP en Corea del Norte. Esta era una operación de bandera falsa cuidadosamente planeada por otro grupoo que alguien en Corea del Norte accidentalmente visitó el URL de comando y control.



¿Te gustó la nota?

Comparte tus comentarios

1 Comentario

manuel navarro Reportar Responder

en nuestro pais tenemos hacker mas peligrosos

Notas Relacionadas

Shopping