Ser capaz de orientarse correctamente en esa gran "zona gris" que se está convirtiendo en ciber-espacio es una tarea muy compleja. Ser capaz de establecer quién es realmente el ejecutor y quién es el instigador de un ciberataque, especialmente en el contexto de las investigaciones judiciales, lo es aún más. Sin embargo, en el contexto del cada vez más vasto y variado mundo de los piratas informáticos, es posible identificar algunos grupos delictivos capaces de llevar a cabo campañas cibernéticas que tienen una resonancia global.
Por lo tanto, dedicamos una serie de artículos a los grupos de cibercriminales considerados más relevantes a nivel planetario, revisando brevemente sus hechos. Antes de comenzar, sin embargo, es necesario hacer algunos requisitos previos.
PrimeroComo se mencionó anteriormente, se trata de hackers criminales, muy diferentes de los llamados hackers "éticos" que, en muchos casos, constituyen un recurso precioso pero, con demasiada frecuencia, no suficientemente valorados. Los hackers éticos, de hecho, no obtienen ningún beneficio de sus acciones (excepto gratificación personal) sino, por el contrario, ayudan a las entidades a llamar su atención para mejorar la seguridad de los sistemas de TI utilizados, descubriendo y señalando cualquier vulnerabilidad, antes de lo real malicioso.
segundo: los nombres atribuidos a grupos delictivos generalmente no son los reales, pero los asignan investigadores o investigadores que pueden identificarlos. Por lo tanto, en la consideración de que a menudo sucede que a un grupo se le asigna más de un nombre, con la consecuencia de crear confusión, los artículos utilizarán los alias en los que converge la mayoría de las investigaciones llevadas a cabo sobre ellos.
Terza: tanto el origen geográfico de estos grupos como su composición (delincuentes, operadores de inteligencia, militares, activistas políticos, etc.), en general, se establecen sobre la base de investigaciones complejas que no pueden eliminar completamente las incertidumbres. En particular, los investigadores analizan y correlacionan las huellas dejadas por los piratas informáticos durante y después de ataques como, por ejemplo, las contraseñas utilizadas, los fragmentos de código con los que se escribió el malware, las claves de cifrado y las técnicas de enmascaramiento utilizadas. desviar a los investigadores, poner en marcha las estructuras de comando y control y otros elementos peculiares reconocibles en las tácticas y técnicas utilizadas por cada grupo.
En base a esta evidencia, por lo tanto, las compañías de ciberseguridad, centros de investigación e incluso inteligencia, identifican grupos de hackers y les asignan sus nombres que, como se mencionó, no siempre se comparten. En última instancia, tales grupos aún no pueden descubrir mucho y el halo impenetrable de secreto que los rodea les permite llevar a cabo sus actos delictivos por el momento, con impunidad.
Sin estas premisas, pasamos al grupo recién sacado a bailar por nada menos que por la Casa Blanca: El grupo Lazarus.
Específicamente, en las últimas semanas, el gobierno de los Estados Unidos ha indicado que Corea del Norte es el instigador del devastador ataque cibernético de alcance mundial, conocido como WannaCryptor (v.articolo). Según los investigadores estadounidenses, además, el ejecutor material habría sido un grupo de piratas informáticos que en el pasado ya se habían distinguido en otras operaciones cibernéticas, relacionadas con el régimen norcoreano: El grupo Lazarusde hecho. Sin embargo, aparte de la supuesta nacionalidad, sobre la génesis y composición del grupo aún no saben mucho sobre, tanto es así que no está claro si se trata de ciberdelincuentes contratados por el régimen de Corea del Norte o, más bien, es una unidad operativa de la misteriosa unidad" 180 "de la Oficina General de Reconocimiento. En cualquier caso, Lázaro tiene una peculiaridad: tiene capacidad ofensiva en crecimiento exponencial y objetivos muy diversificados en todo el mundo. Específicamente, los investigadores observaron que, si hasta ahora Lázaro nunca ha desarrollado malware especialmente sofisticado, por otro lado tiene una gran capacidad para producir nuevos con aparente facilidad. En esencia, el grupo puede aprender o idear métodos de ataque con una velocidad que es difícil de encontrar en otras células ciberdelincuentes. Además, se sabe que Lázaro Opera en todo el mundo y es capaz de llevar a cabo campañas que apuntan a actividades muy diferentes: fuerzas armadas, instituciones financieras (incluso aquellas que se ocupan de las criptomonedas), empresas del sector de la energía y otros tipos de empresas privadas como Sony que, como veremos más tarde, a pesar de sí mismo, ella estuvo involucrada en una disputa entre los EE. UU. y Corea del Norte.
El plan de estudios de Lázaro por lo tanto, es particularmente corpulento, lo que refleja su dinamismo y crueldad. En particular, ya a partir de 2007, el grupo habría sido reconocido por realizar algunas campañas de espionaje y sabotaje dirigidos a objetivos múltiples.
Posteriormente, en el 2013 se habría distinguido por haber perpetrado ciberataques contra algunos bancos y empresas de comunicaciones ubicadas en Corea del Sur.
Sin embargo, es el 2014 el año en el que Lázaro Se puso al frente de las noticias, cuando fue atribuido por el Buró Federal de Investigaciones, el ataque resonante en los servidores de la compañía Sony Picture Entertainment. Más precisamente, la red 24 de noviembre de esta empresa se puso de rodillas por un ataque cibernético y una gran cantidad de datos personales de los empleados se exfiltraron a un destino desconocido. Todo esto sucedió en el lanzamiento de la película satírica estadounidense La entrevista, distribuido por Sony y juzgado como un verdadero ultraje al régimen norcoreano. Más tarde, a pesar de las represalias de Estados Unidos, no fue largo en términos de sanciones económicas o represalias cibernéticas (con resultados inciertos), Lázaro él rápidamente reanudó sus operaciones cibernéticas.
Al año siguiente, de hecho, se caracterizó por varias campañas cibernéticos atribuidos al grupo en cuestión, frente a los objetivos de Corea del Sur, en un grado limitado los Estados Unidos, y están situados en otros países, llevado a cabo a través de numerosos programas maliciosos, las características y diferentes propósitos ("Destrucción" de datos, en lugar de espionaje) como Hangman, Destrover, DeltaCharlie o WildPositron solo por nombrar algunos.
En febrero 2016, sin embargo, una Lázaro se ha atribuido el intento parcialmente exitoso de robo cibernético con el mayor botín jamás registrado en la historia: el ciberataque en el Banco Central de Bangladesh. Más precisamente, durante dos días del Banco Central cerró el grupo gestionado, sin pasar por los sistemas de seguridad, para ordenar la transferencia de casi 1 mil millones de dólares a la Reserva Federal de Estados Unidos y de allí a algunas cuentas corrientes en Sri Lanka y Filipinas . Afortunadamente, la institución de EE. UU. Bloqueó el tramo más grande de la transferencia y se recuperó una cierta cantidad en los meses siguientes. Sin embargo, más de 60 millones de dólares habrían perdido pista gracias a los numerosos pasos en las cuentas corrientes repartidas por el sudeste asiático. Esta historia ha planteado muchas preguntas sobre la naturaleza real y el propósito de Lázaro, aún no resuelto ¿Fue un intento de poner de rodillas a la economía de Bangladesh (en sí misma, lejos de florecer) y desestabilizar ese país o, más bien, un robo "vulgar"?
El hecho es que, más tarde, en el período 2016 - 2017, a través de la campaña cibernética basada en malware bautizado Ratankba, el grupo volvería a centrarse en las instituciones financieras, esta vez, pertenecientes a la mitad del mundo.
Finalmente, después del ataque global con WannaCryptor, que ya se ha escrito, a fines del año pasado Lázaro Se interesa por el creciente negocio de las monedas de cifrado y, en concreto, en un banco de Londres, cuyos empleados han sido "bombardeado" por e-mail con archivos adjuntos o enlaces a sitios Web, comprometida por un malware específicamente "empaquetados".
En conclusión, si se trata de una unidad de inteligencia de Corea del Norte o delito cibernético ocasionalmente contratado por el régimen, El grupo Lazarus sin embargo, puede considerarse una unidad de élite respetable. Su capacidad de lanzar y llevar a cabo campañas de alcance global y de "cambiar el aspecto" continuamente lo hace, de hecho, particularmente efectivo y extremadamente peligroso.
Si los herederos de los antiguos, temibles guerreros Hwarang (jóvenes pertenecientes a familias nobles, que venivani cultivados y criados para formar la cúpula militar) o criminales cibernéticos que han establecido una asociación provechosa con el régimen, El grupo Lazarus es uno de los mejores y más inigualables "ejércitos" del espacio cibernético.
Fuentes principales:
https://www.google.it/amp/amp.timeinc.net/fortune/2017/06/22/cybersecuri...
https://www.wired.com/2016/02/sony-hackers-causing-mayhem-years-hit-comp...
https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...
http://securityaffairs.co/wordpress/68221/apt/lazarus-apt-arsenal.html
http://securityaffairs.co/wordpress/66780/hacking/lazarus-apt-cryptocurr...
https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...
https://www.kaspersky.com/blog/operation-blockbuster/11407/
https://www.reuters.com/article/us-cyber-northkorea-exclusive/exclusive-...
(foto: web)
https://brica.de/alerts/alert/public/1192203/lazarus-apt-group-targets-a...
