Informe publicado por Grupo-IB, un proveedor de seguridad cibernética rusa, contiene nuevos datos que consolida la teoría de que el gobierno de Corea del Norte está detrás del Grupo Lázarus
Históricamente, el nombre de Lázarus se ha utilizado para describir un APT (Advanced amenaza persistente), un término usado para describir a los actores del Estado-nación especializados en actividades de espionaje cibernético.El Grupo Lázarus, también conocido como DarkSeoul en algunos informes, fue el nombre dado a un TEA que se convirtió en activo en 2009. Durante su vida útil, los proveedores de seguridad cibernética han rastreado cuatro grandes campañas Grupo Lázaro.
Mientras que los dos primeros dirigidos objetivos de Corea del Sur, las dos últimas campañas de piratería informática dirigidos a una audiencia global, teniendo como objetivo en el estudio Sony Pictures película ( Operación Blockbuster ), y el sistema de transferencia interbancaria SWIFT utilizado en varios bancos de todo el mundo (Bangladesh, Uruguay , Vietnam, Polonia, Ucrania, Filipinas, etc.).
Todas estas grandes campañas de hacking, junto con los cortes más pequeños no relacionadas, aquí y allá, han dejado un rastro de pruebas en la estela del grupo.
De todos los ataques, los ataques bancaria al SWIFT dejaron el mayor número de pistas, ya que estas operaciones dirigidas bancos de todo el mundo, no sólo unos pocos ordenadores de agencias gubernamentales o varios negocios, como el grupo hizo en las operaciones anteriores.
Los ataques Lazarus en bancos SWIFT participó un mayor número de objetivos debido a la gran cantidad de operaciones de reconocimiento el grupo necesitaba para llevar a cabo con el fin de infiltrarse en los sistemas de seguridad de alta calidad desplegados en los bancos dirigidos.
"Hemos detectado y analizado a fondo la infraestructura C & C utilizado por Lázarus," dice Dmitry Volkov, Jefe del Departamento de Inteligencia de amenaza, y Сo-fundador del Grupo IB. "Nuestra investigación muestra cómo los hackers obtuvieron acceso a los sistemas de información de los bancos, lo que el malware que utilizan, y que sus intentos fueron dirigidos."
Los investigadores han descubierto los principales servidores C & C utilizados para coordinar ataques
Según los especialistas Group-IB, a raíz de la publicación del informe de la Operación Blockbuster en el invierno de 2016, el grupo se vio obligado a desechar la mayor parte de sus herramientas y tácticas.
El Grupo IB-dice que observa nuevas herramientas de hackers que utilizan técnicas de despliegue de múltiples etapas muy complejas, junto con una infraestructura de servidores C & C de tres capas, que se utiliza para controlar este nuevo malware, que se utiliza únicamente en los ataques rápidos.
Tras meses de excavación a través de pruebas, Grupo IB-afirma que logró encontrar las dos direcciones IP en la parte superior de esta infraestructura de servidores C & C.
La primera es 210.52.109.22, que dicen que se asigna a una empresa en China llamado China Netcom. Sin embargo, Grupo IB-afirma que supo de fuentes que el conjunto de direcciones IP 210.52.109.0/24 fue asignado a Corea del Norte en el ínterin. Esta información se encuentra actualmente sin confirmar.
Sin embargo, la ubicación de la segunda dirección C & C IP del servidor habla volúmenes.
175.45.178.222 se refiere a un proveedor de servicios de Internet de Corea del Norte. El servicio de Whois indica que esta dirección es asignada al Distrito Potonggang, tal vez por casualidad, donde se encuentra la Comisión de Defensa Nacional el cuerpo militar más alta de Corea del Norte.
En informes anteriores de la comunidad de inteligencia han dicho que la Oficina 121, una división de la Dirección General de Reconocimiento, una parte la agencia de inteligencia de Corea del Norte de la Comisión de Defensa Nacional, es en realidad el grupos Lázarus.
Sus resultados también se sustentan en la conclusión de los investigadores de Corea del Sur, que han marcado el hack de dos contratistas de defensa a la misma dirección IP.
El corte se llevó a cabo en 2014 julio, cuando el grupo Lázarus violada Grupo SK y el Grupo Hanjin , y robó detalles acerca de un vehículo altura media no tripulado de vigilancia (dron) y planos que detallan el diseño de ala de un avión de combate F-15. La misma dirección IP - 175.45.178.222 - se puede ver en un informe de un canal de televisión de Corea del Sur que presenta detalles sobre el hack.
Lázarus Grupo se hace pasar por hackers rusos
El informe del Grupo IB-publicado también confirma un informe por BAE Systems a partir de febrero, en el que expertos BAE revelaron que el malware utilizado en los ataques rápidos durante el año 2016 que contenía falsas banderas que tratan de culpar de los cortes a hackers rusos.Al igual que BAE, los expertos del Grupo IB-también encontraron palabras rusas que no fueron utilizados correctamente y otras pistas que el Grupo Lázaro estaba tratando de pasar a los hackers como rusos. Estos incluyen Flash y Silverlight exploits tomados de los conjuntos de exploits creados por los hackers de habla rusa, y el uso de protector de Enigma, un sistema anti-manipulación de archivos ejecutables desarrollados por una compañía rusa.
Los expertos encontraron estas pistas a pesar de los esfuerzos sostenidos del Grupo Lázarus para crear nuevos ejemplares de malware para reemplazar el malware anteriormente expuesto. Un informe anterior de BAE Systems también vinculó este nuevo malware utilizado en los ataques a los bancos Swift anteriores operaciones del Grupo Lázarus.
