Los expertos en seguridad de FireEye publicaron un informe sobre la actividad de actores de amenazas motivados financieramente, rastreados como APT38, vinculados al gobierno de Corea del Norte.
En los ataques dirigidos a instituciones financieras, FireEye estima que APT38 ha robado al menos cien millones de dólares de bancos de todo el mundo.
APT38 parece ser un grupo vinculado a Corea del Norte separado del infame grupo Lazarus , ha estado activo desde al menos 2014 y se ha observado que está dirigido a más de 16 organizaciones en 11 países.
El informe atribuyó la cadena de ataques contra el sistema bancario SWIFT al APT38, incluido el hackeo del TP Bank de Vietnam en 2015, el banco central de Bangladesh en 2016, el Lejano Oriente Internacional en 2017, Bancomext en México en 2018 y el Banco de Chile.
"APT38 es un grupo con motivación financiera, los operadores de espionaje cibernético de Corea del Norte , conocido por intentar robar cientos de millones de dólares, las instituciones financieras y su software de malware destructivo", lea el informe publicado por FireEye.
"Se atribuye tanto al grupo" Lázaro "como al TEMP. Permitido que se cumpla con los niveles de confianza en la misma medida en el malware que se aprovecha en las operaciones identificadas. Con el tiempo, estas similitudes de malware divergieron, al ". Los resultados esperados y la TTP , casi siempre, la seguridad, la actividad de TEMP. El permiso está habilitado para varios grupos operativos vinculados principalmente con el desarrollo de malware compartido y el patrocinio del estado de Corea del Norte".
Según FireEye, el APT38 está dirigido a los bancos de todo el mundo para permitir que el gobierno norcoreano se informe en Pyongyang por estados extranjeros.
“Basándonos en la actividad observada, juzgamos que la misión principal de APT38 es apuntar a las instituciones financieras y manipular los sistemas financieros interbancarios para recaudar grandes sumas de dinero para el régimen de Corea del Norte. Se han impuesto sanciones internacionales cada vez más pesadas y puntiagudas a Corea del Norte tras el continuo desarrollo y prueba de las armas del régimen ”, continúa el informe.
"El ritmo de la actividad APT38 probablemente refleja los esfuerzos cada vez más desesperados por robar fondos para perseguir los intereses del estado, a pesar de la creciente presión económica sobre Pyongyang".
Los expertos creen que la actividad del grupo continuará en el futuro, probablemente adoptando nuevas tácticas sofisticadas para evitar la detección.
"Sobre la base de la gran escala de recursos y la vasta red dedicada a comprometer objetivos y robar fondos en los últimos años, creemos que las operaciones de APT38 continuarán en el futuro", concluye FireEye.
"En particular, la cantidad de atracos de SWIFT que se han visto frustrados en los últimos años, junto con la creciente conciencia de la seguridad en torno al sistema de mensajería financiera, podría hacer que el APT38 emplee nuevas tácticas para obtener fondos, especialmente si el acceso de Corea del Norte a la moneda continúa deteriorándose".
Fecha actualización el 2021-10-05. Fecha publicación el 2018-10-05. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs