Así actúa Lazarus, el grupo de cibercriminales al que se atribuye el robo de 81 millones del Banco de Bangladesh

Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento

Actualizado:

Kaspersky Lab ha publicado los resultados de la investigación que ha llevado a cabo durante más de un año sobre el grupo de ciberdelincuentes Lazarus, al que se atribuye el robo de 81 millones de dólares del Banco Central de Bangladesh en 2016.

Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.

Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos. El grupo consiguió introducirse en una institución financiera del sudeste asiático, pero los productos de Kaspersky Lab detectaron el ataque y lo detuvieron. Tras meses de estar inactivo de nuevo, Lazarus se dirigió hacia Europa, pero de nuevo fueron neutralizados gracias al software de detección de la compañía experta en seguridad, así como por el trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación.

¿Cómo y dónde actúa?

Tomando como base los resultados del análisis forense de estos ataques, los analistas de Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo, e identificar cuatro fases.

Primero, un sistema sencillo del banco se ve comprometido, bien remotamente a través de un código de acceso vulnerable o mediante un ataque «wateringhole» aprovechándose de un «exploit» instalado. Una vez que se visita esa esta web, el ordenador de la víctima (el empleado de banco) recibe el «malware» que agrega componentes adicionales.

Es entonces cuando el grupo se mueve a otros 'hosts' del banco y despliega puertas traseras permanentes, permitiendo que el «malware» vaya y venga como quiera.

El grupo se dedica durante días y semanas a conocer la red y a identificar aquellos recursos de valor. Uno de esos recursos puede ser un servidor de «backup», donde se almacena información de autenticación, un servidor de correo o los registros de procesos de transacciones financieras.

Finalmente, despliega un «malware» especial capaz de evitar las medidas de seguridad del «software» financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.

Durante el análisis del incidente en el sudeste asiático, los expertos descubrieron que los ciberdelincuentes habían comprometido la red del banco al menos durante siete meses antes del momento en el que intervino el equipo de respuestas ante incidentes. De hecho, y como apuntan desde Kaspersky Lab, el grupo ya había conseguido acceder a la red de ese banco antes de que se produjera el incidente de Bangladesh.

Según los registros de la compañía, desde diciembre de 2015 han ido apareciendo ejemplos de «malware» relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país.

Posible fallo

Aunque los ciberatacantes fueron cuidadosos en borrar sus huellas, al menos uno de los servidores afectados en otra campaña contenía un importante fallo al haberse dejado olvidado uno de los elementos.

El servidor se había configurado como centro de comando y control de «malware» y las primeras conexiones vinieron desde unos pocos VPN/servidores proxy indicando que eran pruebas para el servidor C&C. Sin embargo, había también una conexión corta en ese mismo día que procedía de una extraña dirección IP en Corea del Norte.

Este es un detalle que puede indicar un posible origen del grupo Lazarus, o al menos de algunos de sus miembros. Sin embargo, como matizan desde la compañía, todavía no es prueba suficiente para poder determinarlo, pues la conexión podría haber sido una operación de despiste.