(por Ciro Metaggiata) Ser capaz de orientarse correctamente en esa gran "zona gris" que se está convirtiendo en ciber-espacio es una tarea muy compleja. Ser capaz de establecer quién es realmente el ejecutor y quién es el instigador de un ciberataque, especialmente en el contexto de las investigaciones judiciales, lo es aún más. Sin embargo, en el contexto del cada vez más vasto y variado mundo de los piratas informáticos, es posible identificar algunos grupos delictivos capaces de llevar a cabo campañas cibernéticas que tienen una resonancia global.
Por lo tanto, dedicamos una serie de artículos a los grupos de cibercriminales considerados más relevantes a nivel planetario, revisando brevemente sus hechos. Antes de comenzar, sin embargo, es necesario hacer algunos requisitos previos.
Primero: como se mencionó anteriormente, se trata de piratas informáticos criminales, muy diferentes de los llamados hackers "éticos" que, en muchos casos, constituyen un recurso precioso pero, con demasiada frecuencia, no suficientemente valorados. Los piratas informáticos hecho Etical no obtienen ningún beneficio de sus acciones (a excepción de la gratificación personal), sino, por el contrario, ayudan a las entidades sujetas a su atención a la mejora de los sistemas informáticos utilizados de seguridad, el descubrimiento de vulnerabilidades y generación de informes, por delante de su real malicioso.
Segundo: los nombres atribuidos a grupos delictivos generalmente no son los reales, pero los asignan investigadores o investigadores que pueden identificarlos. Por lo tanto, en la consideración de que a menudo sucede que a un grupo se le asigna más de un nombre, con la consecuencia de crear confusión, los artículos utilizarán los alias en los que converge la mayoría de las investigaciones llevadas a cabo sobre ellos.
Tercero: tanto el origen geográfico de estos grupos como su composición (delincuentes, trabajadores de inteligencia, militares, activistas políticos, etc.), se establecen generalmente sobre la base de investigaciones complejas que no logran eliminar por completo las incertidumbres. En particular, los investigadores analizan y correlacionan los rastros que dejan los piratas informáticos durante y después de los ataques como, por ejemplo, las contraseñas utilizadas, los fragmentos de código con los que se escribió el malware, las claves de cifrado, las técnicas de enmascaramiento utilizadas. para engañar a los investigadores, las estructuras de mando y control implementadas y otros elementos peculiares reconocibles en las tácticas y técnicas utilizadas por cada grupo individual.
A partir de estas evidencias, por tanto, las empresas de ciberseguridad, los centros de investigación e incluso la inteligencia, identifican grupos de hackers y les asignan sus respectivos nombres que, como se mencionó, no siempre son compartidos. En definitiva, aún no se ha descubierto mucho sobre estos grupos y el impenetrable aura de secretismo que los rodea les permite llevar a cabo sus actos delictivos, por el momento, con impunidad.
Sin estas premisas, pasamos al grupo recientemente sacado a bailar por nada menos que por la Casa Blanca: The Lazarus Group.
En concreto, en las últimas semanas el gobierno de Estados Unidos ha señalado a Corea del Norte como el instigador del devastador ciberataque de alcance global, conocido como WannaCryptor (ver artículo). Además, según los investigadores estadounidenses, el autor material fue un grupo de piratas informáticos que en el pasado ya se ha distinguido en otras operaciones cibernéticas, relacionadas con el régimen norcoreano: The Lazarus Group, de hecho. Sin embargo, aparte de la supuesta nacionalidad, no se sabe mucho sobre la génesis y composición del grupo, tanto que no está claro si se trata de ciberdelincuentes contratados por el régimen norcoreano o si, más bien, se trata de una célula operativa del fantasma "Unidad 180 ”de la Dirección General de Reconocimiento. En cualquier caso, Lazarus tiene una peculiaridad: tiene dotes ofensivas en crecimiento exponencial y objetivos muy diversificados a nivel mundial. Específicamente, los investigadores notaron que, si bien Lazarus nunca ha desarrollado malware particularmente sofisticado hasta ahora, por otro lado tiene una gran capacidad para producir nuevos con aparente facilidad. Básicamente, el grupo es capaz de aprender o diseñar métodos de ataque con una velocidad que es difícil de encontrar en otras células ciberdelincuentes. Además, se sabe que Lazarus opera a nivel mundial y es capaz de realizar campañas que tienen actividades para objetivos muy diferentes: fuerzas armadas, instituciones financieras (incluso las que se ocupan de criptomonedas), empresas del sector energético y otro tipo de empresas privadas como Sony que, como veremos más adelante, se vio envuelta en una disputa entre EE.UU. y Corea del Norte a pesar suyo.
El plan de estudios de Lázaro es, por lo tanto, particularmente corpulento, lo que refleja su dinamismo y crueldad. En particular, ya a partir de 2007, el grupo habría sido reconocido por realizar algunas campañas de espionaje y sabotaje dirigidos a objetivos múltiples.
Posteriormente, en el 2013 se habría distinguido por haber perpetrado ciberataques contra algunos bancos y empresas de comunicaciones ubicadas en Corea del Sur.
Sin embargo, es 2014 el año en el que Lazarus saltó a la palestra, cuando fue atribuido por el Buró Federal de Investigaciones, el sensacional ataque a los servidores de la empresa Sony Picture Entertainment. Más precisamente, el 24 de noviembre la red de esa empresa fue puesta de rodillas por un ciberataque y una enorme cantidad de datos personales de los empleados fueron exfiltrados a un destino desconocido. Todo esto sucedió con motivo del lanzamiento de la película satírica estadounidense The Interview, distribuida por Sony y juzgada como un verdadero atropello contra el régimen norcoreano. Más tarde, a pesar de que las represalias estadounidenses no tardaron en llegar tanto en términos de sanciones económicas como de represalias cibernéticas (con resultados inciertos), Lazarus reanudó rápidamente sus operaciones cibernéticas.
Al año siguiente, de hecho, se caracterizó por varias campañas cibernéticos atribuidos al grupo en cuestión, frente a los objetivos de Corea del Sur, en un grado limitado los Estados Unidos, y están situados en otros países, llevado a cabo a través de numerosos programas maliciosos, las características y diferentes propósitos ("Destrucción" de datos, en lugar de espionaje) como Hangman, Destrover, DeltaCharlie o WildPositron solo por nombrar algunos.
En febrero de 2016, sin embargo, Lázaro fue galardonado con el intento, un éxito parcial, robo cibernético con la mayor cifra jamás registrada en la historia: el ataque cibernético en el Banco Central de Bangladesh. Más precisamente, durante dos días del Banco Central cerró el grupo gestionado, sin pasar por los sistemas de seguridad, para ordenar la transferencia de casi 1 mil millones de dólares a la Reserva Federal de Estados Unidos y de allí a algunas cuentas corrientes en Sri Lanka y Filipinas . Afortunadamente, la institución de EE. UU. Bloqueó el tramo más grande de la transferencia y se recuperó una cierta cantidad en los meses siguientes. Sin embargo, más de 60 millones de dólares habrían perdido pista gracias a los numerosos pasos en las cuentas corrientes repartidas por el sudeste asiático. Esta historia ha planteado muchas preguntas sobre la naturaleza real y los objetivos de Lázaro, aún sin resolver. ¿Fue un intento de poner de rodillas a la economía de Bangladesh (en sí misma, lejos de florecer) y desestabilizar ese país o, más bien, un robo "vulgar"?
El caso es que, posteriormente, en el periodo 2016 - 2017, a través de la cibercampaña basada en el malware bautizado Ratankba, el grupo volvería a centrarse en entidades financieras, esta vez, pertenecientes a medio mundo.
Por último, después de la WannaCryptor ataque global, que ha sido ya escrito, a finales del año pasado Lázaro estaba interesado en el creciente negocio de las monedas de cifrado y, en concreto, en un banco de Londres, cuyos empleados fueron " dirigido "por correos electrónicos que contienen archivos adjuntos o enlaces a sitios web, comprometidos por un malware especialmente" empaquetado ".
En conclusión, ya sea que se trate de una unidad de inteligencia norcoreana o un delito cibernético ocasionalmente contratado por el régimen, The Lazarus Group aún puede considerarse una respetable unidad de élite. Su capacidad de lanzar y llevar a cabo campañas de alcance global y de "cambiar el aspecto" continuamente lo hacen, de hecho, particularmente efectivo y extremadamente peligroso.
Si los herederos de los antiguos, temibles guerreros Hwarang (jóvenes pertenecientes a familias nobles, que venivani cultiva y se entrenó para formar la cúpula militar) o criminales cibernéticos que han establecido una asociación provechosa con el régimen, el Grupo Lázaro es uno de los mejores y "ejércitos" inexpugnables del espacio cibernético.
Fuente: DIFESAONLINE