El infame Grupo Lazarus se mantiene fuerte. No muestran signos de desaceleración. Según un nuevo informe, los sofisticados piratas informáticos, conectados con el gobierno de Corea del Norte, han dejado pruebas de sus operaciones.

Métodos de operación

A principios de este mes, el Grupo Lazarus pirateó una empresa de tecnología blockchain anónima. Esta vez, fue un administrador de sistemas quien cayó en una estafa de phishing al ceder su contraseña de LinkedIn a los actores maliciosos.

Los hackers pudieron manipular las claves de registro y obtener acceso a las computadoras de la empresa. La empresa de seguridad F-Secure detalló los métodos que los piratas informáticos utilizaron en el ataque y compartió los resultados con el público.

El nuevo informe de F-Secure utiliza la inteligencia recopilada de varios ataques recientes para aproximarse a una imagen del Grupo Lazarus. El informe identifica un cierto patrón que, según dicen, puede ayudar a las empresas a protegerse de nuevos ataques.

El análisis del ataque encontró similitudes en las tácticas, técnicas y procedimientos (TTP) del malware y la inteligencia relacionada con otros ataques. La investigación coincide con los detalles publicados por otras empresas de seguridad como Kaspersky y ESET.

Metadatos de los ataques de los hackers | Fuente: F-Secure

El grupo delictivo aprovecha los ataques de spear-phishing, el malware personalizado y los sistemas operativos (SO) nativos para alcanzar sus objetivos. Estas técnicas son sofisticadas.

Requieren una profunda investigación y personalización. Tales ataques requieren paciencia y coordinación. Esto los hace más peligrosos, pero requiere una buena organización, lo que diferencia a Lazarus de otros piratas informáticos.

Evidencias

Aunque el Grupo Lazarus no ha reclamado la propiedad de muchos ataques, parece haber pruebas sólidas de que fueron cometidos por el mismo grupo.

El documento muestra marcadores consistentes a lo largo de los ataques. Por ejemplo, ciertos nombres de autor en los metadatos de archivos de malware aparecen igual. Algunos archivos también tienen fechas de almacenamiento y tamaños totales de archivo idénticos. Esto sugiere que todos proceden de la misma fuente.

Publicidad
Continúe leyendo a continuación
Cadena de infección del Grupo Lazarus | Fuente: F-Secure

Además, F-secure encontró similitudes en la “cadena de infección” que tomó el malware. En otras palabras, la secuencia de archivos que se infectaron para finalmente apoderarse de la computadora fue muy similar.

Ocultos a plena vista

Curiosamente, el Grupo Lazarus, aunque minucioso, dejó un rastro muy importante. Al analizar las secuencias de la línea de comandos, F-Secure descubrió que algunos comandos del código estaban “ocultos” a la vista. Ellos dijeron:

A lo largo de la investigación de F-Secure, se hizo evidente que el Grupo Lazarus estaba consciente para evitar la detección y eliminaría las pruebas de su presencia.

Sin embargo, el Grupo Lazarus no eliminó todos los rastros de irregularidades. Los piratas informáticos eliminaron el software anti-malware utilizando comandos únicos y fácilmente identificables.

Esto dejó a los investigadores con una tarjeta de presentación con la que identificar al Grupo Lazarus. F-Secure espera que al identificar estos comandos para que las empresas puedan prevenir futuros ataques.

A pesar de que los ataques del Grupo Lazarus eran detectables, F-Secure también concluyó que sus métodos estaban cambiando con el tiempo. Dicho simplemente, los piratas informáticos están aprendiendo de sus errores. Se cree que la empresa está operando desde al menos 2017 y sigue concentrada en la lucrativa industria de las criptomonedas.

Otro ataque, aunque similar, ocurrió cuando un hacker adolescente utilizó el spear phishing para acceder a varias cuentas de Twitter de alto perfil el mes pasado.

A principios de este año, el Departamento del Tesoro de Estados Unidos sancionó a dos ciudadanos chinos en relación con un ataque de malware del Grupo Lazarus en una planta de energía de India.