Activos digitales

Cibercrimen sancionado por el gobierno: ¿Qué es el Grupo Lazarus?

mm
Hacker on Laptop

Cybercrime es una amenaza. Las estimaciones sugieren que el daño combinado que el cibercrimen podría infligir a los sistemas en todo el mundo alcanzó hasta US$6 billones en 2021. Y si esa cifra ya parece aterradora, se espera que llegue a US$10,5 billones para 2025. En 2015 era de US$3 billones. Un crecimiento de más del 300 % en una década es algo de lo que todos debemos preocuparnos. ¡Sí, lo leíste bien!

¿Qué es el cibercrimen?

El cibercrimen es un término paraguas que engloba una gran cantidad de esquemas y esfuerzos para perturbar, dañar y causar perjuicio a redes y sistemas. Puede ser cualquier tipo de actividad maliciosa que apunte a una computadora, una red informática o un dispositivo conectado. Puede ser un ataque de malware, donde el atacante infecta un sistema con un virus.

Una campaña de phishing utiliza correos electrónicos spam, mensajes u otras formas de comunicación para engañar al destinatario y comprometer la privacidad de los datos. Un ataque distribuido de denegación de servicio (DoS) a menudo infligido a dispositivos IoT, derriba un sistema o red en particular.

Los tipos de cibercrimen también pueden incluir el robo de datos financieros, datos de tarjetas o pagos, ciberextorsión, ciberespionaje, infracción de derechos de autor, juego ilegal, ataques de ransomware y más.

Según datos presentados por la mundialmente reverenciada empresa de ciberseguridad Kaspersky, un solo ataque, que podría ser una violación de datos, malware, ransomware o ataque DDoS, puede costar a una empresa, sin importar su tamaño, un promedio de US$200 000. De hecho, los datos de la compañía de seguros Hiscox muestran que las empresas afectadas pueden cerrar sus puertas dentro de los seis meses posteriores al ataque.

Indudablemente, el cibercrimen es algo que conlleva consecuencias graves y severas. Los atacantes o hackers están distribuidos globalmente y están equipados para atacar cualquier sistema o red desde cualquier ubicación remota.

Sin embargo, el delito no es algo que generalmente asociemos con agencias respaldadas por el gobierno. Ellos hacen cumplir la ley. Rara vez los consideramos perpetradores. Y seguramente te sorprendería si, en este punto, planteáramos el caso de cibercrimen sancionado por el gobierno. Pero no es raro usar el cibercrimen con fines políticos y mirar más allá de las ganancias monetarias. Aquí, discutiremos un caso típico de tal reputación, que alega la complicidad estatal en la perpetración de cibercrimen.

El curioso caso de Jon Chang Hyok y Kim Il

El sitio del Federal Bureau of Investigation menciona a dos individuos norcoreanos en su lista de los Más Buscados. Tanto Jon Chang Hyok como Kim Il están acusados de conspiración para cometer fraude de cables y bancario y fraude relacionado con computadoras. Ambos fueron presuntamente hackers patrocinados por el Estado que formaron parte de una supuesta conspiración criminal que resultó en algunas de las intrusiones informáticas más costosas de la historia. Pero estos no son acusados ordinarios. No son perpetradores que trabajen con la simple agenda de saquear fondos. Su propósito es más profundo y más turbio de lo que uno podría esperar.

Ambos son presuntos miembros de un grupo de hackers del Buró General de Reconocimiento del Gobierno de Corea del Norte. La conspiración de la que ambos forman parte comprende grupos de hacking norcoreanos que muchos investigadores de ciberseguridad han etiquetado como la Amenaza Persistente Avanzada 38 (APT38) o “Grupo Lazarus”.

El Grupo Lazarus y sus presuntos delitos

La mención más reciente del “notorio” Grupo Lazarus surgió cuando, a finales de enero de 2022, el FBI confirmó que fue el grupo quien orquestó el hack del puente Harmony Bridge de US$100 millones en junio de 2022.

El 23 de junio de 2022, el equipo del protocolo Harmony identificó un robo en el puente Horizon que ascendió a aproximadamente US$100 millones. En su comunicado del 23 de enero, el FBI dejó una nota clara para confirmar que el Grupo Lazarus y APT38, “actores cibernéticos asociados con la República Popular Democrática de Corea”, fueron responsables del robo de US$100 millones en criptomonedas. Los atacantes explotaron vulnerabilidades de seguridad existentes en el puente Ethereum Horizon de Harmony y sustrajeron varios activos almacenados en el puente mediante 11 transacciones.

Antes del hack del puente Harmony Horizon, el nombre del infame Grupo Lazarus también apareció en los informes del hack del puente Ronin de US$600 millones en marzo de 2022. Para quienes no están familiarizados con el hack del puente Ronin, fue la mayor explotación de activos virtuales que ocurrió en 2022. Los fondos hackeados ascendieron a la asombrosa cifra de US$612 millones. Incluyó 173 600 ETH y 25,5 millones de monedas USD.

Axie Infinity, un juego de tokens no fungibles (NFT) “play‑to‑earn”, utilizó Ronin como una sidechain de Ethereum. Al explicar la naturaleza del ataque, los desarrolladores de Axie Infinity, Sky Mavis, señalaron que los hackers obtuvieron acceso a claves privadas para comprometer nodos validadores y aprobar transacciones fraudulentas, drenando los fondos del puente.

La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos actualizó su lista de Nacionales Especialmente Designados y Personas Bloqueadas (SDN) a mediados de abril de 2022 para sugerir la posibilidad de que el Grupo Lazarus orquestara el hack. Los hackers fueron tan sofisticados y clandestinos en su accionar que se descubrió varios días después de ocurrido el hack, a pesar de ser uno de los robos más grandes de su tipo en el espacio cripto.

Lo mismo ocurrió con el hack del puente Harmony Horizon, donde el Grupo Lazarus aprovechó RAILGUN, un protocolo de privacidad, para canalizar más de US$60 millones en Ethereum robado durante el hack. Según investigaciones del FBI, una parte de esos fondos quedó congelada en colaboración con algunos VASP, mientras que el Bitcoin restante se trasladó posteriormente a otras direcciones.

El FBI ha mantenido desplegadas sus unidades de ciberseguridad y activos virtuales, junto con la oficina del Fiscal Federal y la unidad de cripto del Departamento de Justicia de EE. UU., para identificar, interceptar y desbaratar los esfuerzos de este grupo norcoreano. La agencia cree que el robo y lavado de monedas virtuales por parte del grupo están destinados a apoyar los programas de misiles balísticos y armas de destrucción masiva de Corea del Norte.

Se emitió un Aviso Conjunto de Ciberseguridad

El 18 de abril de 2022, la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA), junto con el FBI y el Departamento del Tesoro de EE. UU., publicó un aviso sobre la “actividad patrocinada por el Estado norcoreano dirigida a la tecnología blockchain y la industria de criptomonedas”.

Las amenazas

El aviso señala que la amenaza cibernética asociada con robos de cripto ha estado activa al menos desde 2020. El documento también, sin ambigüedades, reconoce que esta Amenaza Persistente Avanzada (APT) está patrocinada por el Estado norcoreano. Las agencias identificaron al grupo como el Grupo Lazarus, APT 38, BlueNoroff y Stardust Chollima.

El análisis del gobierno de EE. UU. sobre la amenaza marca a estos actores cibernéticos maliciosos como entidades que apuntan a una variedad de organizaciones en la industria blockchain y cripto. No hacen excepciones. La lista de objetivos incluye intercambios de criptomonedas, protocolos DeFi, videojuegos de criptomonedas P2E, compañías de trading cripto, fondos de capital de riesgo y titulares individuales de grandes cantidades de criptomonedas o NFT valiosos.

El Grupo Lazarus, y actores cibernéticos similares, son expertos en ingeniería social de víctimas a través de una variedad de plataformas de comunicación para finalmente atraerlas a descargar aplicaciones cripto troyanizadas en sistemas operativos Windows y macOS. A través de estas aplicaciones, los hackers obtienen acceso al ordenador del usuario final y distribuyen malware por todo el entorno de la red.

El aviso señaló que el Grupo Lazarus fue responsable de apuntar a una variedad de empresas, entidades y exchanges en la industria blockchain y cripto. Su método consistió en campañas de spear‑phishing y el uso de malware para robar.

Malware AppleJeus

El FBI, la CISA y el Departamento del Tesoro reconocieron específicamente el uso del malware AppleJeus en la focalización del Grupo Lazarus a organizaciones para robos de cripto en más de 30 países durante los últimos años. El informe de la agencia indicó que Corea del Norte había usado “malware AppleJeus haciéndose pasar por plataformas de trading de criptomonedas al menos desde 2018”.

La aplicación maliciosa parece haber sido generada por una compañía legítima de trading cripto. Y los individuos, atrapados por el malware, creen que se trata de una aplicación de terceros de un sitio web legal y la descargan.

El Gobierno norcoreano presumiblemente ha usado varias versiones del malware durante los últimos cinco años desde que se descubrió en 2018.

El método de ejecución

Los ciberdelincuentes inician sus operaciones enviando un gran número de campañas de phishing a empleados de negocios cripto. Apuntan mayormente a personas que trabajan en administración de sistemas o desarrollo de software/operaciones de TI (DevOps).

Los mensajes que estos hackers envían son mayormente alertas de reclutamiento que ofrecen empleos bien remunerados. Con estos incentivos, incitan a estos empleados a descargar aplicaciones cripto cargadas de malware, a las que el gobierno se refiere como TraderTraitor. Las campañas TraderTraitor presentan sitios web con diseño moderno que publicitan.

Al listar a Jon Chang Hyok en la lista de los más buscados del FBI, la agencia etiquetó ofensas similares a su nombre, diciendo que se alegaba que él estuvo directamente involucrado en el “desarrollo y difusión de aplicaciones cripto maliciosas dirigidas a numerosos exchanges de criptomonedas y otras compañías”.

Para Kim Il, el delito presunto involucró “robos cibernéticos habilitados por la red desde instituciones financieras” y la estafa del ICO Marine Chain.

La estafa del ICO Marine Chain fue iniciada por tres operativos de inteligencia norcoreanos. Fue una maniobra maliciosa para recaudar fondos de forma fraudulenta durante el auge del ICO de 2018, cuando casi US$12 mil millones fueron recaudados por proyectos.

Marine Chain se presentaba como el “mercado global de inversión marítima de próxima generación habilitado por tecnología blockchain”. Prometía que los propietarios de buques podrían tokenizar la copropiedad de sus barcos y vender estas monedas de copropiedad fraccionada a individuos e instituciones. Lo denominaron Vessel Token Offerings, que prometían realizarse en la blockchain Ethereum.

Kim Il y Jon Chang Hyok, junto con Park Jin Hyok —todos de Corea del Norte— fueron fundadores del Marine ICO. Ocultaron el hecho de que eran miembros de la agencia militar norcoreana, el Buró General de Reconocimiento (RGB). Usaron nombres falsos y canalizaron cada centavo recaudado en el ICO hacia Corea del Norte, evadiendo las sanciones de EE. UU. El trío fue acusado de US$1,3 mil millones en intentos de robo mediante múltiples esquemas de extorsión y ciberataques.

¿Qué sucederá?

Mientras las agencias de investigación de EE. UU. continúan descubriendo y rastreando hacks y intentos de extorsión de forma regular, tanto Kim Il como Jon Chang Hyok siguen en la lista de los Más Buscados del FBI. Se han emitido órdenes de arresto. Sin embargo, la CISA estaba segura en su divulgación de que “estos actores probablemente continuarán explotando vulnerabilidades de empresas de tecnología de criptomonedas, compañías de videojuegos y exchanges para generar y lavar fondos que apoyen al régimen norcoreano.”

Gaurav comenzó a operar con criptomonedas en 2017 y se enamoró del espacio cripto desde entonces. Su interés en todo lo relacionado con criptomonedas lo convirtió en un escritor especializado en criptomonedas y blockchain. Pronto se encontró trabajando con empresas de criptomonedas y medios de comunicación. También es un gran fanático de Batman.