WhatsApp, LinkedIn y Slack, herramientas de ataque de Lazarus, hackers militares de Corea del Norte

Hace unos años os hablamos del Bureau 121, la división militar de Corea del Norte que capta, adiestra y convierte a jóvenes universitarios recién salidos de la carrera en expertos piratas informáticos. En sí el Bureau 121 es muy conocido por todas las agencias de seguridad del mundo, pero una Alerta Técnica del FBI y la Homeland Security de 2017 puso a otro grupo, Hidden Cobra, en primera plana.

Hidden Cobra y el Bureau 121 de Corea del Norte

Hiddel Cobra ha sido descrito como un ejército de hackers que ha estado lanzando ciberataques desde el año 2009 en todo el mundo, pero principalmente hacia Corea del Sur, el enemigo constante de Kim Jong-un, y hacia sectores críticos de la infraestructura de Estados Unidos.

Este informe recoge cómo las agencias gubernamentales han usado y animado a los ciberanalistas a que vigilen de cerca Hidden Cobra, avisándoles de que ellos seguirán hackeando para cumplir cualesquiera que sean los objetivos estratégicos y militares que Corea del Norte y su dictador han establecido con un equipo o comando que también se les conoce por el nombre de Guardians of Peace y Lazarus Group.

Los Estados Unidos afirman que Hidden Cobra es quien está detrás del hackeo que Sony Pictures sufrió en 2014 como represalia por la película The Interview, que trata sobre dos reporteros americanos que van a asesinar al dictador de Corea del Norte. También se les atribuye, aunque no con tanta disposición, uno de los mayores pirateos que hemos visto en este siglo provocado por el ransomware Wannacry, que en 2017 tumbó las infraestructuras públicas, privadas y civiles de medio mundo en 150 países usando irónicamente herramientas creadas por la NSA, la Agencia Nacional de Seguridad americana.

Exfiltración

Durante la conferencia anual ESET World, los investigadores de la compañía experta en antivirus ESET presentaron una nueva investigación sobre el infame grupo Lazarus APT. El Director de Investigación de Amenazas de ESET, Jean-Ian Boutin, repasó varias campañas nuevas perpetradas por el grupo Lazarus contra contratistas de defensa de todo el mundo entre finales de 2021 y marzo de 2022.

En los ataques correspondientes a 2021-2022, y según la telemetría de ESET, Lazarus se ha dirigido a empresas de Europa como Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania, y de América Latina como Brasil. A pesar de que el objetivo principal de esta operación de Lazarus es el ciberespionaje, el grupo también ha trabajado para exfiltrar dinero (sin éxito).

"El grupo de amenazas Lazarus demostró su ingenio al desplegar un interesante conjunto de herramientas, incluyendo un componente de modo de usuario capaz de explotar un controlador vulnerable de Dell para escribir en la memoria del kernel. Este avanzado truco se utilizó para eludir el control de las soluciones de seguridad", afirma Jean-Ian Boutin.

Tumbando a contratistas de defensa por WhatsApp y LinkedIn

Ya en 2020, los investigadores de ESET habían documentado una campaña llevada a cabo por un subgrupo de Lazarus contra los contratistas europeos del sector aeroespacial y de defensa, denominada operación In(ter)cepción. Esta campaña era digna de mención, ya que utilizaba las redes sociales, especialmente LinkedIn, para crear confianza entre el atacante y un empleado desprevenido antes de enviarle componentes maliciosos que se hacían pasar por descripciones o solicitudes de empleo. Empresas de Brasil, la República Checa, Qatar, Turquía y Ucrania ya habían sido objeto del ataque.

Los investigadores de ESET creían que la acción estaba orientada principalmente a atacar a empresas europeas. Sin embargo, al rastrear el número de subgrupos de Lazarus que realizaban campañas similares contra contratistas de defensa, pronto se dieron cuenta de que la campaña era mucho más amplia. Aunque el malware utilizado en las distintas campañas era diferente, el modus operandi (M.O.) inicial seguía siendo el mismo: un falso reclutador se ponía en contacto con un empleado a través de LinkedIn y acababa enviando componentes maliciosos.

En este sentido, han continuado con el mismo M.O. que en el pasado. Sin embargo, los investigadores de ESET también han documentado la reutilización de elementos de campañas de contratación legítimas para añadir legitimidad a sus campañas de falsos reclutadores. Además, los atacantes han utilizado servicios como WhatsApp o Slack en sus campañas maliciosas.

En 2021, el Departamento de Justicia de Estados Unidos acusó a tres programadores informáticos de ciberataques que trabajaban para el ejército norcoreano. Según el gobierno estadounidense, estos pertenecían a la unidad de hackers militares norcoreanos conocida en la comunidad infosegura como Lazarus Group.