23 septiembre 2022

Refrito del sábado: Lazarus

Me acordé de esta entrada con relación al "hackeo" de los correos del Estado Mayor Conjunto de la Defensa Nacional de Chile. Al parecer no fue nada de importancia, solo varios miles de mail enviados por Exhange, el servicio de correos para empresas de Microsoft, en un ataque que afectó a varios países de América Latina, a años luz del ataque del Grupo Lazarus al Banco Central de Bangladesh, que fue mucho más sofisticado.

Ninguna institución está libre de estosataques, en ningún país, normalmente son muy básicos y explotan vulnerabilidades conocidas en equipos que no han sido parchados, es una situación corriente especialmente en servidores de email y otros que no almacenan información muy valiosa, seguro que en el futuro seguiremos viendo cosas así.

Todo lo que está conectado a Internet es inseguro, especielmente los mail, que muchos creen que tienen la privacidad e inviolabilidad de una carta, sin embargo es como mandar en un sobre abierto que muchos pueden interceptar y leer. Tal vez lo más importante es establecer políticas de seguridad, para lo que no se necesita ningún experto informático ni nada por el estilo, separando la información en unos 3 o 4 niveles según su valor, los niveles más sensibles deben ir encriptados de punta a punta, y aunque eso no asegura un 100% de seguridad termina con prácticamente todos los riesgos. Pero en fin, vamos al refrito:

Lazarus (publicado originalmente el 14 de junio de 2022)
Llevo un tiempo siguiendo esta historia, que parece sacada de una película de ciencia ficción pero es completamente real. Empecé viendo una serie de la BBC pero después seguí averiguando y a medida que leo más, quedo cada vez más asombrado, se trata de la historia del Grupo Lazarus, conocido por varios otros nombres como Guardianes de la Paz o Equipo Whois, los conocí leyendo una propaganda de BAE Systems Digital Intelligence, que me llevó al documental del gran robo del Banco Central de Bangladesh. Una cosa llevó a la otra y -para no caer en imprecisiones- resumiré el robo y la historia que aparece en Wikipedia.

En febrero de 2016, el Banco central de Bangladesh sufrió un desperfecto en la impresora que dejaba respaldo físico de las transacciones de fondos swift. El asunto ocurrió un viernes en la tarde y los encargados de informática dejaron la reparación para el lunes siguiente. Durante ese fin de semana unos hackers hicieron 35 transacciones fraudulentas desde la Reserva Federal de Nueva York contra los fondos en la cuenta del Banco Central de Bangladesh, por casi mil millones de dólares eran el total de los fondos soberanos que tenía ese banco en Estados Unidos.

Desde la Reserva Federal mandaron a pedir confirmaciones reiteradas veces, pero el fin de semana el Banco Central de Bangladesh no trabajaba, así es que empezaron a hacer las transacciones a diversas cuentas en Filipinas y otros países, ya que la operación cumplía con todos los requisitos. Cuando llegó el lunes, el presidente del Banco Central se enteró del asunto y -sin saber bien de que se trataba- decidió contratar al mejor experto de ciberseguridad del país y no informar a nadie para no causar pánico, hasta saber el alcance del asunto.

Los hackers llevaban más de un año infiltrando los servidores del banco y con paciencia oriental fueron tomando el control de una a otra máquina hasta llegar a su objetivo principal, que era el software que controlaba a la impresora de los respaldos. Después de eso orquestaron un robo perfectamente calculado, minuto a minuto y así lo ejecutaron.

Cuento corto, de las 35 transacciones, la Reserva Federal consiguió bloquear 30, por 850 millones de dólares, 20 millones se perdieron en una cuenta de Sri Lanka y otros 81 en una cuenta de Filipinas, nunca se llegó a recuperar esa plata. Las transacciones bloqueadas se salvaron por casualidad, ya que las órdenes contenían faltas de ortografía que hicieron sospechar a los encargados de la FED, de no ser por eso, habrían dejado a Bangladesh en cueros, sin un dólar de reservas internacionales.

El grupo BAE, contratistas privados de defensa y seguridad, reclaman haber sido ellos quienes identificaron que los perpetradores eran de Lazarus, que estaba ejerciendo esas actividades de cibercrimen desde el año 2009 y siguen en lo mismo hasta el día de hoy.

Resulta que ya están bastante identificados como un grupo dependiente del gobierno de Corea del Norte, que desde hace años vienen reclutando y educando a la gente más talentosa que encuentran por todo el país, los juramentan al silencio y los mandan a estudiar a Shenyang, China, donde aprenden a crear malware e infiltrarse en los equipos, también se especializan localmente en  la Kim Chaek University of Technology, Kim Il-sung University y en Moranbong University, donde tienen escuelas de cibercrimen.

Tal vez recuerden cuando Sony hizo una película burlándose de Kim Jong Il, bueno, en 2014 esa empresa sufrió el peor ataque corporativo de la historia con un daño masivo que expuso toneladas de información confidencial de la empresa a la luz pública y dejó a toda la web corporativa fuera de servicio por varios días.

El grupo Lazarus, que partió en 2009 con un ataque bien rústico de denegación de servicios a varios servidores en USA y Corea del Sur, con el tiempo fue sofisticando sus operaciones y hoy es la organización de cibercrimen más peligrosa del mundo respaldada por el gobierno de Corea del Norte, muy probablemente en complicidad con China.

En 2013 comprometió varios servidores de Corea del Sur con ataques más sofisticados. En 2017 infectaron masivamente con el gusano de ramsonware WanaCry a cerca de 200.000 computadores en 150 países, el ramsonware consiste en "secuestrar" información exigiendo un rescate para poder recuperarla.  En 2017 incursionaron con un ataque a una criptomoneda de Corea del Sur, robándose 7 millones de dólares. A finales del 2020 comenzaron a atacar a las farmacéuticas, robando información y extorsionándolos con fuertes rescates. 

Recién en marzo de este año atacaron un juego online con criptomonedas llamado Axie Infinity attack, robando más de 600 millones de dólares. Un fuerte aviso para los que creen que el bitcoin y otras inversiones por el estilo son "completamente seguras" : la seguridad en Internet no existe, así de simple.

Como es decía, este grupo es un esfuerzo material y humano enorme, financiado y protegido por el gobierno de Corea del Norte y probablemente respaldado por el gobierno de China. Tienen dos grandes divisiones, una dedicada al cibercrimen financiero y otra área política, dedicada a la guerra electrónica contra Corea del Sur y Estados Unidos principalmente.

En fin, es un asunto alucinante del que no me canso de leer. Mejor que cualquier película de ficción y totalmente real. Mientras tanto yo pienso con cierta inquietud que mis ámaras de video vigilancia están mandando toda la información a servidores chinos en tiempo real.

7 comentarios:

  1. DON TOMAS,
    Recuerdo esta película que habla del tema:

    https://www.youtube.com/watch?v=W27MSxh4e0s

    ResponderBorrar
  2. Hay harto mito con eso de los "hackers", normalmente son solo tipos con mucho tiempo y los ataques son sencillos. El ataque al Banco de
    Bangladesh empezó super simple, mandando una oferta de trabajo al equipo de un empleado que estaba conectado al servidor de impresoras del banco, traía un adjunto y con eso tomaron control de su PC claro que de ahi estuvieron meses saltando de equipo en equipo. El ataque mismo fue muy bien planeado y coordinado, una joya, aunque al final igual falló casi totalmente

    ResponderBorrar
  3. Sobre el choreo de correos.
    Una cosa es copiarlos, su objetivo primario es saber cosas para usarlas eventualmente; imagino como analfa que eso deja o puede dejar rastros y el hackeado se entera que se lo hicieron, entonces puedes negociar sabiendo cosas o hasta venderle "proteccion". SI el pirateado no se entera quedas en una posicion de poder , sabes cosas que el otro no sabe que sabes. Los autores pueden ser desde proveedores hasta agencias gubernamentales, improbable que sean militantes de alguna tonteria conspiranoica.
    Otra cosa es publicarlos: Implica la intencion de causar un efecto politico, o un castigo a alguien que se nego a pagar por un sistema de proteccion, o demoler la confianza en la seguridad, o dar una excusa para una razzia, o vengarse de una ofensa, o mero narcisismo de chiflados conspiranoicos. Muchsimos "oes", entonces veamos su efectos: el control de daños de los merluzos es echarle la culpa al ejercito ( que estaba a cargo cuando se produjo), y aprovechar la oportunidad para intervenir mas profundamente de lo que han logrado en las FFAA.; tambien es una mejor cortina de humo de la agente que estaba enquistada en la Moneda, mucho mejor que el incidente con Israel. El efecto anti merluzo , en cambio, es casi nulo, es de mera responsabilidad politica, cosa nula en chilito. ¿La publicacion entonces seria pro merluzos? , por sus efectos hasta hoy: capaz, aunque tambien puede ser mero aprovechamiento eficaz.

    ResponderBorrar
  4. La extorsión puede ser ramsomware o la amenaza de publicar cosas como fotos o películas en la pieza de un motel o cosas por el estilo, hace tiempo un troll me mandó un mail con una de mis password dr más baja seguridad amenazando que si no le transfería 20.000 dólares en bitcoins iba a borrar todo el contenido de mi servidor jaja. La amenaza normalmente es denegación de servicio y borrar.
    Este no fue el caso, simplemente publicaron para activismo político, como hicieron con Wikipedia, Panama Papers y otros por el estilo
    No fue un ataque dirigido específicamente Chile, hubo varios otros países simultáneamente
    Secretaría de la Defensa Nacional de México
    Policía Nacional Civil de El Salvador
    Fuerza Armada de El Salvador
    Comando General de las Fuerzas Militares de Colombia
    Comando Conjunto de las Fuerzas Armadas
    Ejército del Perú
    Estado Mayor Conjunto de las Fuerza Armadas de Chile
    Fiscalia of Colombia
    Sehuramente fue un asunto oportunista, estuvieron escaneando en distintos servidores buscando parches no actualizados, copiaron y publicaron

    ResponderBorrar
  5. Trataron de perjudicar la inteligencia de esos países, pero al final les hicieron un gran a porte aumentando los insumos para inteligencia de fuentes abiertas (osint). Mas de algo interesante se podría deducir de esos mail, aunque la mayoría sea intrascendente

    ResponderBorrar
    Respuestas
    1. Buen post, como se llaman las series y películas que mencionas?

      Borrar
  6. Hola Anónimo, gracias. Nos son series ni películas, la mayoría de la información la saqué de un documental de la BBC muy largo, que viene en 11 videos y está en youtube
    https://www.youtube.com/playlist?list=PLz_B0PFGIn4ccgXclIq9gdmf_nFNz-Og8

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"