APT38: nuevo grupo de amenazas apoyado por el régimen norcoreano

10 octubre, 2018
24 Compartido 1,237 Visualizaciones

FireEye da a conocer detalles sobre un grupo de amenazas que creemos que es responsable de cometer delitos financieros en nombre del régimen de Corea del Norte, robando millones de dólares a bancos de todo el mundo.

El grupo es particularmente agresivo; usa con regularidad malware destructivo para hacer que las redes de víctimas dejen de funcionar después de un robo. Más importante aún, los esfuerzos diplomáticos, incluida la reciente acusación del Departamento de Justicia (DOJ) de Estados Unidos que describía la atribución a Corea del Norte, hasta el momento no han logrado poner fin a su actividad. Denominamos a este grupo APT38.

Lanzan este informe especial, APT38: Sospechosos inusuales, para exponer los métodos utilizados por esta amenaza activa y grave, y para complementar los esfuerzos anteriores de otros para exponer estas operaciones, utilizando la perspectiva única de FireEye sobre el ciclo de vida del atacante.

Creemos que la motivación financiera, y el conjunto de herramientas y tácticas, técnicas y procedimientos (TTP) únicos de APT38 observados durante sus operaciones cuidadosamente ejecutadas son lo suficientemente distintos como para ser rastreados por separado de otras actividades cibernéticas de Corea del Norte. Hay muchas características que se superponen con otras operaciones, conocidas como «Lazarus» y el actor que llamamos TEMP.Hermit; sin embargo, creemos que separar a este grupo proporcionará a los defensores una mejor comprensión del adversario y les permitirá priorizar los recursos y habilitar la defensa. Las siguientes son algunas de las características en las que APT38 es diferente de otros actores norcoreanos, y algunas de las formas en las que es similar:

  • Encontramos que hay distinciones claras entre la actividad de APT38 y la de otros actores norcoreanos, incluido el actor al que llamamos TEMP.Hermit. Nuestra investigación indica que son operaciones dispares contra diferentes objetivos y que utilizan TTP distintas; sin embargo, las herramientas de malware que se usan se superponen o exhiben características compartidas, lo que indica un desarrollador compartido o acceso a los mismos repositorios de código. Como es evidente en la acusación del Departamento de Justicia de Estados Unidos, existen otros recursos compartidos, como el personal que puede ayudar en múltiples esfuerzos.

 

  • Un informe de 2016 de Novetta detalló el trabajo de los fabricantes de seguridad que intentaron revelar herramientas e infraestructuras relacionadas con el ataque destructivo de 2014 contra Sony Pictures Entertainment. Este informe detalla el malware y las TTP relacionadas con un conjunto de desarrolladores y operadores a los que denominaron «Lazarus», un nombre que se ha convertido en sinónimo de operaciones cibernéticas agresivas de Corea del Norte.

 

  • Desde entonces, los informes públicos atribuyeron actividad adicional al grupo «Lazarus» con diferentes niveles de confianza, principalmente basados ​​en similitudes del malware que utilizan en las operaciones identificadas. Con el tiempo, estas similitudes de malware divergieron, al igual que los objetivos de los ataques, los resultados previstos y las TTP, indicando casi con certeza que esta actividad se desarrolla por múltiples grupos operativos vinculados principalmente con recursos de desarrollo de malware compartido y el patrocinio estatal de Corea del Norte.

 

Desde al menos 2014, APT38 ha realizado operaciones en más de 16 organizaciones en al menos 11 países, a veces simultáneamente, lo que indica que el grupo constituye una operación grande y prolífica con recursos extensos. Los siguientes son algunos detalles sobre los objetivos de ataque de APT38:

 

  • El número total de organizaciones atacadas por APT38 puede ser incluso mayor cuando se considera la probable baja tasa de informes de incidencias por parte de las organizaciones afectadas.

 

  • APT38 se caracteriza por una larga planificación, largos períodos de acceso a entornos de víctimas comprometidos, que preceden a cualquier intento de robar dinero, fluidez en entornos de sistemas operativos mixtos, el uso de herramientas desarrolladas a la medida y un esfuerzo constante para frustrar las investigaciones unido a la voluntad de destruir por completo las máquinas comprometidas después.

 

  • El grupo es cuidadoso, calculado y ha demostrado un deseo de mantener el acceso al entorno de la víctima durante el tiempo que sea necesario para comprender el diseño de la red, los permisos necesarios y las tecnologías del sistema para lograr sus objetivos.

 

  • En promedio, hemos observado que APT38 permanece dentro de la red de la víctima durante aproximadamente 155 días, y se considera que el tiempo más prolongado de permanencia en un entorno comprometido es de casi dos años.

 

  • Tan solo en los incidentes reportados públicamente, APT38 ha intentado robar más de 1.100 millones de dólares a instituciones financieras.

 

La investigación de intrusiones en muchas organizaciones que han sido víctimas nos ha proporcionado una perspectiva única del ciclo de vida completo de ataque de APT38. En un alto nivel, su orientación a las organizaciones financieras y los robos posteriores han seguido el mismo patrón general:

 

  1. Recopilación de información: realizan una investigación del personal de una organización y del de sus proveedores que probablemente tengan acceso a los sistemas de transacciones SWIFT, para comprender la mecánica de las transacciones de SWIFT en las redes de las víctimas (los sistemas en cuestión son aquellos utilizados por la víctima para realizar transacciones SWIFT; en ningún momento observamos que estos actores violaran la integridad del propio sistema SWIFT).

 

  1. Compromiso inicial: se basó en un ataque “watering hole” (se aprovechan las vulnerabilidades de una web de confianza que suele ser visitada por los empleados de la organización objetivo del ataque para distribuir un código malicioso cuando acceden) y explotó una versión insegura y desactualizada de Apache Struts2 para ejecutar código en el sistema.

 

  1. Reconocimiento interno: se desplegó malware para recopilar credenciales, se mapeó la topología de la red de la víctima y se usaron herramientas ya presentes en el entorno de la víctima para escanear los sistemas.

 

  1. Pivotar a servidores de la víctima utilizados para las transacciones SWIFT: se instaló malware de reconocimiento y herramientas de monitorización de la red interna en los sistemas utilizados para las transacciones SWIFT para comprender mejor cómo están configurados y cómo se utilizan. Se desplegaron tanto puertas traseras activas como pasivas en estos sistemas para acceder a sistemas internos segmentados en la organización víctima del ataque y evitar la detección.

 

  1. Transferir fondos: se implementó y ejecutó malware para insertar transacciones SWIFT fraudulentas y alterar el historial de transacciones. Los fondos transferidos a través de múltiples transacciones a cuentas establecidas en otros bancos, generalmente ubicados en países separados para permitir el lavado de dinero.

 

  1. Destruir evidencias: se eliminan los registros de forma segura, además se despliega y ejecuta el malware de borrado de disco para cubrir pistas y entorpecer el análisis forense.

 

APT38 es único porque no teme destruir de forma agresiva las pruebas o las redes de las víctimas como parte de sus operaciones. Esta actitud hacia la destrucción del grupo es probablemente no solo para tratar de tapar sus huellas, sino también para encubrir las operaciones de lavado de dinero.

 

Además de las operaciones cibernéticas, los informes públicos han detallado el reclutamiento y la cooperación de individuos en el país para apoyar la parte final de los robos de APT38, incluidas las personas responsables del lavado de fondos y la interacción con los bancos receptores de fondos robados. Esto se suma a la complejidad y la coordinación necesaria entre los múltiples componentes que soportan las operaciones de APT38.

 

A pesar de los esfuerzos recientes para reducir su actividad, APT38 sigue siendo activo y peligroso para las instituciones financieras de todo el mundo. Según estimaciones conservadoras, este actor ha robado más de cien millones de dólares, lo que sería un gran retorno de la posible inversión necesaria para orquestar estas operaciones. Además, dada la magnitud de los robos que intentan, y su inclinación por destruir las redes atacadas, el grupo APT38 debe considerarse un riesgo grave para el sector.

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

AIG ayuda a sus clientes a ser resilientes frente a las amenazas cibernéticas
Actualidad
12 compartido460 visualizaciones
Actualidad
12 compartido460 visualizaciones

AIG ayuda a sus clientes a ser resilientes frente a las amenazas cibernéticas

Alicia Burrueco - 16 octubre, 2019

El equipo de ciberriesgos de la aseguradora organizó en Madrid un evento sobre ‘Ciber resiliencia. Aproximación a su Ciberseguro’ Benedetta…

CONPilar convierte a Zaragoza en la capital mundial de la ciberseguridad
Actualidad
21 compartido1,530 visualizaciones
Actualidad
21 compartido1,530 visualizaciones

CONPilar convierte a Zaragoza en la capital mundial de la ciberseguridad

Vicente Ramírez - 11 abril, 2018

CONPilar, Congreso anual de Ciberseguridad, Hacking y Derecho Tecnológico se celebrará los próximos días 27 y 28 de abril en…

Los errores de programación en los contratos inteligentes, principal vía de acceso para los ciberdelincuentes
Actualidad
12 compartido1,506 visualizaciones1
Actualidad
12 compartido1,506 visualizaciones1

Los errores de programación en los contratos inteligentes, principal vía de acceso para los ciberdelincuentes

Vicente Ramírez - 15 junio, 2018

Expertos de la empresa española S2 Grupo han señalado que las consecuencias de estos errores pueden ser millonarias para las compañías.…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.