Durante los últimos meses, la banda ha estado realizando campañas destinadas a extraer información a contratistas de defensa de todo el mundo.
Es la madrugada del 12 de mayo de 2017. Lazarus, grupo
cibercriminal tradicionalmente asociado con el gobierno de Corea del Norte,
realiza un ataque de tipo 'ransomware' valiéndose del código Wannacry con el
que, en apenas unas horas, consigue causar problemas a, aproximadamente,
300.000 sistemas informáticos en todo el mundo, además de paralizar a empresas
como Telefónica y FedEx o a instituciones como el Ministerio del Interior de
Rusia. La efeméride, que dejó a todos los profesionales de ciberseguridad con
la boca abierta, sigue siendo recordada ahora, cinco años después, como el
ciberataque más duro de la historia. Y la banda que, teóricamente, estuvo
detrás sigue siendo plenamente operativa en la Red.
Así lo demuestra el reciente golpe que se llevó la
empresa de videojuegos Axie Infinity, que perdió más de 600 millones de euros
por culpa de un ciberataque que, según el Gobierno de EE.UU., fue desarrollado
por esta banda.
Más allá de este ataque, el grupo ha dedicado los últimos
meses ha lanzar campañas dirigidas para el robo de información y occidente
contra empresas y usuarios occidentales. Entre ellos, contratistas
aeroespaciales y de defensa, según compartió recientemente la empresa de
ciberseguridad ESET en su evento anual ESET World.
Corea del Norte no es una excepción. Muchos países
mantienen relaciones más o menos estrechas con grupos cibercriminales que
operarían con su consentimiento, entre ellos, según apuntan profesionales del
sector de la ciberseguridad, se encuentran China, Rusia o EE.UU. Habitualmente,
cuando es un estado el que patrocina el ataque, este está dirigido, en
concreto, al robo de información. Sin embargo, en el caso de Corea del Norte y
Lazarus, el objetivo también puede ser económico.
«Corea del Norte es un país que sufre muchas sanciones
económicas por parte de la comunidad internacional. El país tiene que buscar
otras formas de financiarse, y el robo de criptomonedas (difíciles de rastrear)
les ha permitido durante los últimos años aliviar los efectos de las medidas
que se toman contra ella», explica en conversación con ABC Josep Albors, jefe
de investigación de ESET.
No obstante, la banda no descuida el espionaje. El año
pasado, fue acusada de intentar 'hackear' a Pfizer con el objetivo de robar
información relacionada con la vacuna contra el Covid desarrollada por la
empresa. Corea del Sur también llamó la atención sobre sus intentonas para
extraer datos de este tipo.
Espionaje por LinkedIn o WhatsApp
Durante 2021 y los primeros meses de 2022, el grupo
cibercriminal ha estado, además, desarrollando campañas destinadas a robar
información a contratistas de defensa de todo el mundo. De acuerdo con su
telemetría, ha realizado ataques contra trabajadores de empresas que operan dentro
de este ámbito ubicados en estados europeos (entre ellos España), orientales e
hispanoamericanos. Para conseguir llegar hasta ellos, la banda criminal se
sirve de plataformas sociales como LinkedIn, WhatsApp y Slack.
«Ellos identifican a los trabajadores de la empresa
objetivo y contactan con ellos haciéndose pasar por reclutadores, normalmente
de firmas de importante renombre», señala Albors sobre el funcionamiento de
estas campañas en LinkedIn. El objetivo final de Lazarus es que, después de
haberse ganado la confianza de las víctimas, estas pulsen un enlace que
descargue código malicioso con el que acceder a la información almacenada en el
equipo afectado. Todo el proceso está desarrollado por humanos, el grupo no
recurre a bots conversacionales.
Cuando emplean WhatsApp, según señala Albors, Lazarus ya
cuenta con el número de teléfono de la víctima: «Lo que intentan es contactar
con ellos directamente. En el caso de Slack, estamos hablando de una plataforma
para la organización del trabajo, allí pueden agregar a personas y contactar
con ellos para intentar robarles información».