Los hackers norcoreanos están de vuelta. Esta vez, cuatro agencias de seguridad, departamentos y oficinas pertenecientes al gobierno de los Estados Unidos han identificado una nueva campaña de ciberataques contra bancos realizada por un grupo vinculado al régimen de Corea del Norte.
Bautizada como “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks” (Efectivo rápido 2.0: el grupo norcoreano BeagleBoyz robando bancos), la campaña detectada tiene como objetivo específico los cajeros automáticos y las terminales SWIFT de los bancos, y pretende paliar la falta crónica de recursos y especialmente dólares que afecta a Pyongyang.
De la investigación participaron la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Departamento del Tesoro, el Buró Federal de Investigaciones (FBI) y el Ciber Comando de los Estados Unidos (USCYBERCOM), dependientes del gobierno de los Estados Unidos.
Hackers norcoreanos ya habían sido señalados por la empresa de ciberseguridad FireEye como responsables del ataque a gran escala contra bancos en todo el mundo en 2018. Además, en 2019 la ONU también denunció al régimen de Kim Jong-un de orquestar el robo de cerca de 2.000 millones de dólares de instituciones financieras.
“El aparato de inteligencia de Corea del Norte controla un equipo de hackers dedicados al robo de banco a mediante el acceso remoto a través de internet”, indica el informe oficial publicado este miércoles por CISA.
Los BeagleBoyz (“Muchachos del Beagle”) han estado involucrados al menos desde de 2015 en el uso fraudulento del sistema SWIFT de transferencias bancarias internacionales, así como también de ataques contra cajeros automáticos desde 2018.
No estaba claro en un principio que este grupo al que se le atribuyen los ataques recientes sea el mismo que habría estado detrás de las operaciones de 2018 (el famoso APT38, también conocido como Lazarus), ya que los métodos y tácticas son diferentes. Pero se cree que, cuanto menos, estos colectivos están vinculados y relacionados, unidos en el objetivo de proveer recursos al régimen de Corea del Norte, acorralado por las sanciones internacionales de parte del Consejo de Seguridad de las Naciones Unidas.
Precisamente, este tipo de fondos robados por medio de ciberataques pueden ser luego utilizados para financiar actividades ilegales expresamente prohibidas por la ONU, como el desarrollo de armas nucleares y misiles balísticos de corto, medio y largo alcance, de las que el régimen es tan adepto y las cuales requieren de enormes cantidades de dinero.
“Riesgo severo”
“Los robos a bancos de parte de BeagleBoyz representan un riesgo operacional severo para las empresas individuales más allá del daño a la reputación y las pérdidas financieras generadas por el robo y los costos de recuperación”, detalla el informe de CISA.
Según estimaciones del gobierno de Estados Unidos, los BeagleBoyz han lanzado ataques contra activos por un valor de dos billones de dólares. No estaba del todo claro con cuánto del botín efectivamente se hicieron, pero se cree que el número ronda los cientos de millones.
Además de las pérdidas financieras, estos ciberataques han generado, como efecto secundario, duros golpes a los sistemas informáticos de las instituciones atacadas, en algunos casos dejándolos fuera de servicio.
Por ejemplo, en 2018 un banco en África debió suspender las operaciones de sus cajeros automáticos por dos meses luego de una ataque del tipo FastCash, de acuerdo al reporte.
Este tipo de ataque comienza con una campaña de “phishing”, es decir de ingeniería social usualmente basada en el envío mensajes apócrifos enviados a los empleados de los bancos, intentando engañarlos para que hagan click en un enlace malicioso y por tanto faciliten la infección de la red interna. Luego, se programa a uno o varios cajeros automáticos para que entreguen dinero a los atacantes.
Ese mismo año los BeagleBoyz provocaron el colapso de miles de computadores y servidores pertenecientes al Banco de Chile, con el sólo propósito de generar una distracción mientras se hackeaba a la terminal SWIFT de la institución.
En el mayor de los ataques perpetrados por el grupo, se golpearon a instituciones financieras en 30 países al mismo tiempo.
Qué se sabe de los BeagleBoyz
El gobierno de los Estados Unidos considera que el grupo pertenece a la Oficina General de Reconocimiento de la República Popular Democrática de Corea, y que comenzó a operar en 2014.
No se trata de un típico grupo de ciberdelincuentes, que en muchas ocasiones aceptan encargos de diferentes países. Por el contrario, sus operaciones están bien planeadas y coordinadas, son disciplinados y metódicos, y por esta razón su accionar se asemeja más al de una agencia de inteligencia estatal concentrada en realizar espionaje.
“El grupo utiliza siempre una aproximación calculada, lo que les permite mejorar sus tácticas, técnicas y procedimientos y evitar así la detección”, señala el reporte de CISA.
Entre 2015 y 2020 se han detectado ataques en Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Corea del Sur, Costa Rica, Ecuador, España, Ghana, India, Indonesia, Japón, Jordania, Kenya, Kuwait, Filipinas, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Singapur, Sudáfrica, Taiwan, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam y Zambia.
Cómo funcionan los ciberataques
Los BeagleBoyz se concentran en dos tipos de ataques.
El primero, de FastCash, se concentra en las redes de pagos de las instituciones financieras. La infección se realiza mediante el ya mencionado “phishing”, tras lo cual se accede al servidor de pagos del banco y de esta manera a los cajeros automáticos. Entonces sólo resta designar el aparato y el momento para que el atacante recoja el dinero.
El segundo tipo de ataque se concentra en las transacciones internacionales. La forma de infectar es exactamente la misma, pero luego los atacantes proceden a la terminal SWIFT del banco y organizan una transferencia internacional (el llamado “wire”) desde una cuenta a otro banco beneficiario. En el último paso el atacante recibe una segunda transferencia a una cuenta particular, desde la cual extrae el dinero.
MÁS SOBRE ESTE TEMA:
Últimas Noticias
El nuevo líder supremo de Irán sigue sin aparecer en público, pero el régimen difundió su primer mensaje
Desde los medios oficiales de Teherán se atribuye al ayatolá Mojtaba Khamenei el apoyo al bloqueo del estrecho de Ormuz y la exigencia a los países vecinos para que “expulsen a los invasores”
Trump remarcó el objetivo de la ofensiva de EEUU en Medio Oriente: “Impedir que el imperio malvado de Irán posea armas nucleares”
El prtesidente estadounidense reconoció que el alza del crudo beneficia a su país como mayor productor mundial, pero subrayó que su verdadero objetivo es desmantelar las instalaciones atómicas iraníes
“Es el primer conflicto bélico 100% atravesado por la tecnología”: cómo la ciberguerra y los drones cambiaron la estrategia militar
El especialista en ciberseguridad Gabriel Zurdo analizó cómo los ciberataques, la inteligencia artificial y los drones de bajo costo están redefiniendo los conflictos armados
Israel bombardeó plantas de desarrollo nuclear y centros de producción de drones de Irán
Las FDI golpearon el complejo Taleghan, cerca de Teherán, donde el régimen habría retomado actividades atómicas tras la Guerra de los 12 días. Además, bombardeó un sitio de producción de aviones no tripulados
El secreto detrás del nuevo aluminio que promete autos más resistentes y ecológicos
La tecnología RidgeAlloy utiliza aluminio reciclado contaminado de vehículos fuera de uso y lo transforma en un material apto para piezas clave de autos nuevos. El método permite aprovechar hasta 350.000 toneladas de chatarra automotriz al año
