Kaspersky Lab acaba de publicar los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus, el famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016. Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, un famoso grupo de ciberespionaje y cibersabotaje responsable de toda una serie de repetitivos y devastadores ataques, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.
Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos. Consiguieron introducirse en una institución financiera del sudeste asiático, pero los productos de Kaspersky Lab detectaron el ataque y lo detuvieron, por lo que estuvieron inactivos los meses posteriores. Después tomaron la decisión de dirigirse hacia Europa, pero de nuevo fueron neutralizados gracias al software de detección de Kaspersky Lab, así como por el trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación.
Fórmula Lazarus
Tomando como base los resultados del análisis forense de estos ataques, los analistas de Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo
• Compromiso inicial: Un sistema sencillo del banco se ve comprometido, bien remotamente a través de un código de acceso vulnerable (p.ej. a través de un webserver) o mediante un ataque wateringhole aprovechándose de un exploit instalado. Una vez que se visita esa esta web, el ordenador de la víctima (el empleado de banco) recibe el malware que agrega componentes adicionales.
• Posición establecida: Es entonces cuando el grupo se mueve a otros hosts del banco y despliega backdoors permanentes, permitiendo que el malware vaya y venga como quiera.
• Reconocimiento interno: El grupo se dedica durante días y semanas a conocer la red y a identificar aquellos recursos de valor. Uno de esos recursos puede ser un servidor de backup, donde se almacena información de autenticación, un servidor de correo o los registros de procesos de transacciones financieras.
• Entregar y robar: Finalmente despliegan un malware especial capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.
Geografía y referencia
Los ataques analizados por los analistas de Kaspersky Lab tuvieron lugar durante varias semanas. Sin embargo, los ciberdelincuentes han podido estar operando durante meses. Durante el análisis del incidente en el sudeste asiático, los expertos descubrieron que los hackers habían comprometido la red del banco al menos durante siete meses antes del momento en el que intervino el equipo de respuestas ante incidentes. De hecho, el grupo ya había conseguido acceder a la red de ese banco antes de que se produjera el incidente de Bangladesh.
Según los registros de Kaspersky Lab, desde diciembre de 2015 han ido apareciendo ejemplos de malware relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país. Los últimos ejemplos de los que Kaspersky tiene conocimiento han sido detectados en marzo de 2017, lo que evidencia que los cibercriminales no parecen tener intención de parar.
Aunque los ciberatacantes fueron cuidadosos en borrar sus huellas, al menos uno de los servidores afectados en otra campaña contenía un importante fallo al haberse dejado olvidado uno de los elementos. El servidor se había configurado como centro de comando y control de malware y las primeras conexiones inieron desde unos pocos VPN/servidores proxy indicando que eran pruebas para el servidor C&C. Sin embargo, había también una conexión corta en ese mismo día que procedía de una extraña dirección IP en Corea del Norte. Este es un detalle que puede indicar un posible origen del grupo Lazarus, o al menos de algunos de sus miembros. Sin embargo, todavía no es prueba suficiente para poder determinarlo, pues la conexión podría haber sido una operación de despiste.
El grupo Lazarus no deja de invertir en nuevas variantes de su malware. Durante meses han intentado crear un conjunto de herramientas que fueran invisibles a las soluciones de seguridad. Cada vez que lo han hecho, los especialistas de Kaspersky Lab han podido identificar ciertas características sobre cómo se había creado su código, permitiendo a realizar un seguimiento de nuevas variantes. En este momento, los ciberatacantes se mantienen relativamente silenciosos, lo que probablemente quiere decir que están trabajando en rearmarse.
“Estamos seguros de que les vamos a ver de nuevo en marcha. Ataques como los que ha realizado el grupo Lazarus demuestran como pequeños problemas de configuración pueden terminar en brechas de seguridad importantes, con resultados para las empresas de cientos de millones de dólares en pérdidas. Confiamos en que los responsables de bancos, casinos y compañías de inversión por todo el mundo, sean conscientes del peligro de Lazarus”, comenta Vitaly Kamluk, responsable del equipo de análisis e investigación global de Kaspersky Lab en APAC.
Los productos de Kaspersky Lab detectan y bloquean con éxito el siguiente malware utilizado por Lazarus
• Backdoor.Win32.Contopee.a,
• Backdoor.Win64.Agent.lo,
• Exploit.MSIL.CVE-2016-0034.b,
• HEUR:Trojan-Banker.Win32.Alreay.gen,
• Trojan-Banker.Win32.Agent.zvr,
• Etc.
La empresa también está facilitando indicadores de compromiso (IOC) claves, así como otros datos que ayudan a las organizaciones a buscar huellas de estos ataques en sus redes corporativas. Para más información puede visitar Securelist.com.
