FireEye da a conocer detalles sobre un grupo de amenazas que creemos que es responsable de cometer delitos financieros en nombre del régimen de Corea del Norte, robando millones de dólares a bancos de todo el mundo.

El grupo es particularmente agresivo; usa con regularidad malware destructivo para hacer que las redes de víctimas dejen de funcionar después de un robo. Más importante aún, los esfuerzos diplomáticos, incluida la reciente acusación del Departamento de Justicia (DOJ) de Estados Unidos que describía la atribución a Corea del Norte, hasta el momento no han logrado poner fin a su actividad. Denominamos a este grupo APT38.

Lanzan este informe especial, APT38: Sospechosos inusuales, para exponer los métodos utilizados por esta amenaza activa y grave, y para complementar los esfuerzos anteriores de otros para exponer estas operaciones, utilizando la perspectiva única de FireEye sobre el ciclo de vida del atacante.

Creemos que la motivación financiera, y el conjunto de herramientas y tácticas, técnicas y procedimientos (TTP) únicos de APT38 observados durante sus operaciones cuidadosamente ejecutadas son lo suficientemente distintos como para ser rastreados por separado de otras actividades cibernéticas de Corea del Norte. Hay muchas características que se superponen con otras operaciones, conocidas como «Lazarus» y el actor que llamamos TEMP.Hermit; sin embargo, creemos que separar a este grupo proporcionará a los defensores una mejor comprensión del adversario y les permitirá priorizar los recursos y habilitar la defensa. Las siguientes son algunas de las características en las que APT38 es diferente de otros actores norcoreanos, y algunas de las formas en las que es similar:

• Encontramos que hay distinciones claras entre la actividad de APT38 y la de otros actores norcoreanos, incluido el actor al que llamamos TEMP.Hermit. Nuestra investigación indica que son operaciones dispares contra diferentes objetivos y que utilizan TTP distintas; sin embargo, las herramientas de malware que se usan se superponen o exhiben características compartidas, lo que indica un desarrollador compartido o acceso a los mismos repositorios de código. Como es evidente en la acusación del Departamento de Justicia de Estados Unidos, existen otros recursos compartidos, como el personal que puede ayudar en múltiples esfuerzos.

• Un informe de 2016 de Novetta detalló el trabajo de los fabricantes de seguridad que intentaron revelar herramientas e infraestructuras relacionadas con el ataque destructivo de 2014 contra Sony Pictures Entertainment. Este informe detalla el malware y las TTP relacionadas con un conjunto de desarrolladores y operadores a los que denominaron «Lazarus», un nombre que se ha convertido en sinónimo de operaciones cibernéticas agresivas de Corea del Norte.

• Desde entonces, los informes públicos atribuyeron actividad adicional al grupo «Lazarus» con diferentes niveles de confianza, principalmente basados ​​en similitudes del malware que utilizan en las operaciones identificadas. Con el tiempo, estas similitudes de malware divergieron, al igual que los objetivos de los ataques, los resultados previstos y las TTP, indicando casi con certeza que esta actividad se desarrolla por múltiples grupos operativos vinculados principalmente con recursos de desarrollo de malware compartido y el patrocinio estatal de Corea del Norte.

Desde al menos 2014, APT38 ha realizado operaciones en más de 16 organizaciones en al menos 11 países, a veces simultáneamente, lo que indica que el grupo constituye una operación grande y prolífica con recursos extensos. Los siguientes son algunos detalles sobre los objetivos de ataque de APT38:

• El número total de organizaciones atacadas por APT38 puede ser incluso mayor cuando se considera la probable baja tasa de informes de incidencias por parte de las organizaciones afectadas.

• APT38 se caracteriza por una larga planificación, largos períodos de acceso a entornos de víctimas comprometidos, que preceden a cualquier intento de robar dinero, fluidez en entornos de sistemas operativos mixtos, el uso de herramientas desarrolladas a la medida y un esfuerzo constante para frustrar las investigaciones unido a la voluntad de destruir por completo las máquinas comprometidas después.

• El grupo es cuidadoso, calculado y ha demostrado un deseo de mantener el acceso al entorno de la víctima durante el tiempo que sea necesario para comprender el diseño de la red, los permisos necesarios y las tecnologías del sistema para lograr sus objetivos.

• En promedio, hemos observado que APT38 permanece dentro de la red de la víctima durante aproximadamente 155 días, y se considera que el tiempo más prolongado de permanencia en un entorno comprometido es de casi dos años.

• Tan solo en los incidentes reportados públicamente, APT38 ha intentado robar más de 1.100 millones de dólares a instituciones financieras.

La investigación de intrusiones en muchas organizaciones que han sido víctimas nos ha proporcionado una perspectiva única del ciclo de vida completo de ataque de APT38. En un alto nivel, su orientación a las organizaciones financieras y los robos posteriores han seguido el mismo patrón general:

1. Recopilación de información: realizan una investigación del personal de una organización y del de sus proveedores que probablemente tengan acceso a los sistemas de transacciones SWIFT, para comprender la mecánica de las transacciones de SWIFT en las redes de las víctimas (los sistemas en cuestión son aquellos utilizados por la víctima para realizar transacciones SWIFT; en ningún momento observamos que estos actores violaran la integridad del propio sistema SWIFT).

2. Compromiso inicial: se basó en un ataque “watering hole” (se aprovechan las vulnerabilidades de una web de confianza que suele ser visitada por los empleados de la organización objetivo del ataque para distribuir un código malicioso cuando acceden) y explotó una versión insegura y desactualizada de Apache Struts2 para ejecutar código en el sistema.

3. Reconocimiento interno: se desplegó malware para recopilar credenciales, se mapeó la topología de la red de la víctima y se usaron herramientas ya presentes en el entorno de la víctima para escanear los sistemas.

4. Pivotar a servidores de la víctima utilizados para las transacciones SWIFT: se instaló malware de reconocimiento y herramientas de monitorización de la red interna en los sistemas utilizados para las transacciones SWIFT para comprender mejor cómo están configurados y cómo se utilizan. Se desplegaron tanto puertas traseras activas como pasivas en estos sistemas para acceder a sistemas internos segmentados en la organización víctima del ataque y evitar la detección.

5. Transferir fondos: se implementó y ejecutó malware para insertar transacciones SWIFT fraudulentas y alterar el historial de transacciones. Los fondos transferidos a través de múltiples transacciones a cuentas establecidas en otros bancos, generalmente ubicados en países separados para permitir el lavado de dinero.

6. Destruir evidencias: se eliminan los registros de forma segura, además se despliega y ejecuta el malware de borrado de disco para cubrir pistas y entorpecer el análisis forense.

APT38 es único porque no teme destruir de forma agresiva las pruebas o las redes de las víctimas como parte de sus operaciones. Esta actitud hacia la destrucción del grupo es probablemente no solo para tratar de tapar sus huellas, sino también para encubrir las operaciones de lavado de dinero.

Además de las operaciones cibernéticas, los informes públicos han detallado el reclutamiento y la cooperación de individuos en el país para apoyar la parte final de los robos de APT38, incluidas las personas responsables del lavado de fondos y la interacción con los bancos receptores de fondos robados. Esto se suma a la complejidad y la coordinación necesaria entre los múltiples componentes que soportan las operaciones de APT38.

A pesar de los esfuerzos recientes para reducir su actividad, APT38 sigue siendo activo y peligroso para las instituciones financieras de todo el mundo. Según estimaciones conservadoras, este actor ha robado más de cien millones de dólares, lo que sería un gran retorno de la posible inversión necesaria para orquestar estas operaciones. Además, dada la magnitud de los robos que intentan, y su inclinación por destruir las redes atacadas, el grupo APT38 debe considerarse un riesgo grave para el sector.