WhatsApp, LinkedIn y Slack, herramientas de ataque de Lazarus, hackers militares de Corea del Norte

Hace unos a?os os hablamos del Bureau 121, la divisi¨®n militar de Corea del Norte que capta, adiestra y convierte a j¨®venes universitarios reci¨¦n salidos de la carrera en expertos piratas inform¨¢ticos. En s¨ª el Bureau 121 es muy conocido por todas las agencias de seguridad del mundo, pero una Alerta T¨¦cnica del FBI y la Homeland Security de 2017 puso a otro grupo, Hidden Cobra, en primera plana.

Hidden Cobra y el Bureau 121 de Corea del Norte

Hiddel Cobra ha sido descrito como un ej¨¦rcito de hackers que ha estado lanzando ciberataques desde el a?o 2009 en todo el mundo, pero principalmente hacia Corea del Sur, el enemigo constante de Kim Jong-un, y hacia sectores cr¨ªticos de la infraestructura de Estados Unidos.

Este informe recoge c¨®mo las agencias gubernamentales han usado y animado a los ciberanalistas a que vigilen de cerca Hidden Cobra, avis¨¢ndoles de que ellos seguir¨¢n hackeando para cumplir cualesquiera que sean los objetivos estrat¨¦gicos y militares que Corea del Norte y su dictador han establecido con un equipo o comando que tambi¨¦n se les conoce por el nombre de Guardians of Peace y Lazarus Group.

Los Estados Unidos afirman que Hidden Cobra es quien est¨¢ detr¨¢s del hackeo que Sony Pictures sufri¨® en 2014 como represalia por la pel¨ªcula The Interview, que trata sobre dos reporteros americanos que van a asesinar al dictador de Corea del Norte. Tambi¨¦n se les atribuye, aunque no con tanta disposici¨®n, uno de los mayores pirateos que hemos visto en este siglo provocado por el ransomware Wannacry, que en 2017 tumb¨® las infraestructuras p¨²blicas, privadas y civiles de medio mundo en 150 pa¨ªses usando ir¨®nicamente herramientas creadas por la NSA, la Agencia Nacional de Seguridad americana.

Exfiltraci¨®n

Durante la conferencia anual ESET World, los investigadores de la compa?¨ªa experta en antivirus ESET presentaron una nueva investigaci¨®n sobre el infame grupo Lazarus APT. El Director de Investigaci¨®n de Amenazas de ESET, Jean-Ian Boutin, repas¨® varias campa?as nuevas perpetradas por el grupo Lazarus contra contratistas de defensa de todo el mundo entre finales de 2021 y marzo de 2022.

En los ataques correspondientes a 2021-2022, y seg¨²n la telemetr¨ªa de ESET, Lazarus se ha dirigido a empresas de Europa como Francia, Italia, Alemania, Pa¨ªses Bajos, Polonia y Ucrania, y de Am¨¦rica Latina como Brasil. A pesar de que el objetivo principal de esta operaci¨®n de Lazarus es el ciberespionaje, el grupo tambi¨¦n ha trabajado para exfiltrar dinero (sin ¨¦xito).

"El grupo de amenazas Lazarus demostr¨® su ingenio al desplegar un interesante conjunto de herramientas, incluyendo un componente de modo de usuario capaz de explotar un controlador vulnerable de Dell para escribir en la memoria del kernel. Este avanzado truco se utiliz¨® para eludir el control de las soluciones de seguridad", afirma Jean-Ian Boutin.

Tumbando a contratistas de defensa por WhatsApp y LinkedIn

Ya en 2020, los investigadores de ESET hab¨ªan documentado una campa?a llevada a cabo por un subgrupo de Lazarus contra los contratistas europeos del sector aeroespacial y de defensa, denominada operaci¨®n In(ter)cepci¨®n. Esta campa?a era digna de menci¨®n, ya que utilizaba las redes sociales, especialmente LinkedIn, para crear confianza entre el atacante y un empleado desprevenido antes de enviarle componentes maliciosos que se hac¨ªan pasar por descripciones o solicitudes de empleo. Empresas de Brasil, la Rep¨²blica Checa, Qatar, Turqu¨ªa y Ucrania ya hab¨ªan sido objeto del ataque.

Los investigadores de ESET cre¨ªan que la acci¨®n estaba orientada principalmente a atacar a empresas europeas. Sin embargo, al rastrear el n¨²mero de subgrupos de Lazarus que realizaban campa?as similares contra contratistas de defensa, pronto se dieron cuenta de que la campa?a era mucho m¨¢s amplia. Aunque el malware utilizado en las distintas campa?as era diferente, el modus operandi (M.O.) inicial segu¨ªa siendo el mismo: un falso reclutador se pon¨ªa en contacto con un empleado a trav¨¦s de LinkedIn y acababa enviando componentes maliciosos.

En este sentido, han continuado con el mismo M.O. que en el pasado. Sin embargo, los investigadores de ESET tambi¨¦n han documentado la reutilizaci¨®n de elementos de campa?as de contrataci¨®n leg¨ªtimas para a?adir legitimidad a sus campa?as de falsos reclutadores. Adem¨¢s, los atacantes han utilizado servicios como WhatsApp o Slack en sus campa?as maliciosas.

En 2021, el Departamento de Justicia de Estados Unidos acus¨® a tres programadores inform¨¢ticos de ciberataques que trabajaban para el ej¨¦rcito norcoreano. Seg¨²n el gobierno estadounidense, estos pertenec¨ªan a la unidad de hackers militares norcoreanos conocida en la comunidad infosegura como Lazarus Group.