Lazarus, el grupo norcoreano de hackers o piratas informáticos, por lo visto no se toma vacaciones, ni existe emergencia sanitaria que lo detenga.
Muy por el contrario, según reportes, la actividad de estos ciberdelincuentes parece ser más intensa desde que se declaró la crisis mundial por el coronavirus.
Como ya es conocido, el botín preferido desde hace algún tiempo por los hackers son las criptomonedas. Al principio, cuando Bitcoin era todavía una novedad y no se habían desarrollado todavía las técnicas para rastrear sus transacciones de punto a punto, BTC era la cripto de elección para los cibercriminales.
En los actuales momentos, son las monedas digitales centradas en la privacidad las que figuran como el medio ideal con el que mover los fondos provenientes de actividades ilegales en línea.
Criptos como Zcash, PIVX, Monero o Verge suelen empelarse con frecuencia para cobrar rescates en los casos de ransomware.
Sin embargo, a la hora de extraer criptomonedas de un intercambio por la fuerza, no hay distinción entre los activos digitales que los hackers deciden llevarse con ellos.
En abril tuvo lugar un golpe importante, llevado a cabo por lo que se pensó al principio era un grupo de hackers, pero que luego resultó siendo un pirata informático solitario, aunque muy audaz.
La startup Lendf.me, una plataforma de prestamos basados en criptomonedas, se quedó prácticamente sin dinero al descubrir que habían sido victimas de un robo descomunal. El atacante había logrado burlar los sistemas de seguridad de Lendf, para finalmente llevarse unos USD 25 millones, denominados en varias monedas digitales.
La mayor cantidad de dinero provino de ETH (USD 10 millones), seguida de un lote de stablecoins (PAX, TUSD, USDC, USDT y otras) cuyo valor se estimó en USD 9,5 millones. El resto de las criptomonedas hackeadas estuvo compuesto por BTC, LINK, BAT, Maker, Kyber, HT (Huobi Token) y LEND.
Afortunadamente, este incidente tuvo un final feliz, a medias. El individuo que realizó el robo pudo ser identificado, y acabó por devolver todas las monedas sustraídas de Lendf. Por su parte, la compañía de prestamos cripto pudo cumplir con regresar los fondos a sus usuarios, pero se encuentra ahora fuera de operaciones.
A diferencia de este temerario ladrón cibernético, el grupo de hackers Lazarus mantiene vínculos, al parecer, con el gobierno totalitario de Corea del Norte. Si un solo sujeto puede llevarse 25 millones de dólares actuando por su cuenta, imaginemos lo que pueden lograr los hackers cuando actúan coordinadamente.
Lazarus forma parte del ejercito invisible que ayuda a subsistir al gobierno de Kim Jong-Un, que permanece hasta ahora aislado del resto del mundo. Se conoce que también que ciudadanos de ese país son enviados al exterior con la única finalidad de obtener un trabajo y enviar de vuelta a Corea del Norte las mayor parte de su salario.
Los hackers de Lazarus , por su parte, se dedican exclusivamente a obtener ilegalmente grandes porciones de monedas digitales, que van a parar directamente a las arcas de Jong-Un. La firma de seguridad digital ESTsecurity tiene sus ojos puestos sobre Lazarus de manera constante.
Esto se debe no solamente a la naturaleza del trabajo que llevan a cabo en la firma, sino principalmente a que son vecinos inmediatos del régimen de Pionyang. Afincada en Corea del Sur, ESTsecurity asegura que la gente de Lazarus no ha hecho más que incrementar su actividad delictiva durante esta primera mitad del año.
Debido a la proximidad geográfica en la que se encuentran, los intercambios de criptomonedas surcoreanos son, por lógica, los principales objetivos de los hackers que trabajan para la dictadura que padece Corea del Norte y que ahora va por la tercera generación de gobernantes pertenecientes a una misma familia.
De acuerdo a los informes elaborados por ESTsecurity, plataformas locales para la comercialización de monedas digitales como UPbit, Bithumb, OKCoin Korea, Huobi y Coinone deberán endurecer sus medidas de seguridad tanto como les sea posible, debido a la amenaza persistente que significan los hackers de Lazarus.
UPbit, uno de los intercambios más destacados del país, posee alrededor de 1.2 millones de usuarios, y mueve diariamente unos USD 300 millones en volumen de negociación. A fines del año pasado, en noviembre, UPbit sufrió un ataque de hackers donde se lograron extraer 342 mil monedas de ETH, que para entonces estaban valoradas en USD 50 millones.
El historial del Grupo Lazarus es extenso, pues vienen funcionando desde al menos el año 2009. Estos hackers alcanzaron notoriedad luego de habérseles ligado al ataque de la compañía Sony Pictures sucedido en octubre de 2014.
En el incidente, los equipos informáticos de los estudios Sony quedaron bloqueados durante varios días. Los piratas, que se hicieron llamar “Guardianes de la Paz”, se adueñaron de una cantidad no especificada de material fotográfico y de otra índole.
Sony estaba a punto de estrenar una cinta llamada “La Entrevista”, en la cual se describía, desde el punto de vista humorístico, un complot para asesinar al líder de Corea del Norte, Kim Jong-Un.
El Grupo Lazarus ha efectuado ataques no sólo a peces gordos, como la compañía Samsung, la propia Sony Pictures, o al sistema bancario internacional (sistema SWIFT). También están interesados en afectar equipos de común y corriente, que posteriormente puedan ser utilizados para llegar a otros objetivos.
En noviembre pasado, la firma Trend Micro identificó un nuevo malware, denominado “Backdoor.MacOS.NUKESPED.A”, asociado, según ellos, al grupo de hackers en cuestión.
El software maligno estaba dirigido a computadoras con el sistema operativo MacOS, ubicadas en territorio de Corea del Sur. Este software pernicioso quedaba instalado en los equipos mediante una macro contenida en una hoja de Excel que descargaban los usuarios.
Lazarus puede ser considerado casi como una corporación transnacional del crimen informático. Los especialistas en seguridad digital han logrado identificar dos grupos que operan bajo su comando: BlueNorOff y otro denominado AndAriel.
El primero, conocido también con el tag APT38, se destaca por la agresividad de sus ataques, dejando generalmente inservibles los equipos en donde logra penetrar. Su blanco principal son las instituciones bancarias.
En 2017 Lazarus estuvo muy activo implantando ransomware en varios sitios del planeta. Para ello se valió del malware WannaCry, un clásico en el segmento de los secuestros de datos.
Al convertirse en una amenaza nuclear para la región, debido al desarrollo de su programa de armas atómicas no supervisado, Corea del Norte es una nación a la que se han impuesto sanciones internacionales.
Un informe de las Naciones Unidas, emitido en marzo de 2019, señala que la piratería informática es una de las herramientas que el gobierno de ese país emplea para conseguir fondos y evadir las restricciones económicas. El grupo de hackers Lazarus se encuentra a la cabeza de este esfuerzo.
El Concejo de Seguridad de la ONU estimó entonces que el monto producido por las actividades criminales en línea de sus piratas ascendía a USD 670 millones.
Los delincuentes informáticos que trabajan para Jong-Un también cuentan con la ayuda de colaboradores que intervienen con el fin de poder mover o legitimar parte de lo recaudado.
En marzo de este año, Li Jiadong y Tian Yinyin, dos individuos de nacionalidad china, fueron señalados por el Departamento de Justicia (DOJ) de los Estados Unidos por haber contribuido en el lavado de USD 100 millones en criptomonedas.
Según el DOJ, los fondos provinieron de hacks efectuados por el Grupo Lazarus a intercambios en 2018.
Este mismo mes, la firma de investigación en blockchain Chainalysis reportó que un proveedor de servicios digitales en Suiza, BlackHost, pudiera tener algún tipo de relación con los hackers norcoreanos.
Chainalysis halló que BlackHost recibió hace poco cierta cantidad de Bitcoin desde una dirección asociada al grupo criminal, por lo que ha puesto a dicha compañía bajo sospecha. BlackHost proporciona hosting de sitios web, VPS y nombres de dominio, así como también protección ante ataques distribuidos de denegación del servicio (DDoS).
