La firma estadounidense de seguridad cibernética, Recorded Future, publicó un nuevo informe que relaciona a Lazarus, un grupo hacker de Corea del Norte, con varios intercambios de criptomonedas de Corea del Sur, ataques de piratería y violaciones de seguridad.
En un informe titulado "Corea del Norte apunta a los intercambios y usuarios de criptomonedas de Corea del Sur en campaña a finales de 2017", investigadores de la empresa, declararon que el mismo tipo de malware, utilizado en los ataques con el ransomware WannaCry y la violación de seguridad de Sony Pictures, fue utilizado para atacar Coinlink, un intercambio de criptomoneda con sucursal en Corea del Sur.
"Los agentes del gobierno de Corea del Norte, específicamente el Grupo Lazarus, siguieron apuntando a los intercambios y usuarios de criptomonedas de Corea del Sur a finales de 2017, antes del discurso de Año Nuevo de Kim Jong Un y el posterior diálogo Norte-Sur. El malware empleó un código compartido con el malware Destover, que se utilizó contra Sony Pictures Entertainment en 2014 y la primera víctima de WannaCry en febrero de 2017", se lee en el informe.
$7 millones robados de Bithumb
En febrero de 2017, Bithumb, el segundo mayor mercado de criptomonedas en el mercado global por volumen diario de operaciones, cayó víctima de una brecha de seguridad que llevó a la pérdida de alrededor de $7 millones de fondos de los usuarios, principalmente en Bitcoin y la criptomoneda nativa de Ethereum Éter.
El informe publicado por Recorded future, señaló que la violación de seguridad a Bithumb de 7 millones de dólares, ha sido vinculada con los hackers norcoreanos. Los investigadores de Insikt Group, un grupo de investigadores de seguridad cibernética que siguen de cerca las actividades de hackers norcoreanos con regularidad, revelaron que el grupo Lazarus, en particular, ha utilizado una amplia gama de herramientas desde ataques spear phishing (robo de identidad) a distribución de malware a través de plataformas de comunicación para obtener acceso a billeteras y cuentas de criptomonedas.
Los investigadores de Insikt Group revelaron que los piratas informáticos del grupo Lazarus iniciaron una campaña masiva de malware en el otoño de 2017 y, desde entonces, los piratas informáticos norcoreanos se han centrado en propagar malware adjuntando archivos que contienen software fraudulento para obtener acceso a dispositivos individuales.
Un método que empleó el grupo Lazarus fue la distribución de archivos de Hangul Word Processor (HWP) a través de correo electrónico, el equivalente en Corea del Sur de documentos de Microsoft Word, con malware adjunto. Si algún usuario de criptomonedas descarga el malware, se instala de manera automática y opera en segundo plano, tomando el control o manipulando los datos almacenados dentro del dispositivo específico.
![5a956c6d0404ff437c1eb1cb6031988d.png()
"En 2017, agentes de Corea del Norte habían saltado al efecto de arrastre de la criptomoneda. La primera operación conocida con criptomonedas de Corea del Norte se produjo en febrero de 2017, con el robo de $7 millones (en ese momento) del intercambio surcoreano de criptodivisas Bithumb. A finales de 2017, varios investigadores habían reportado lanzamientos adicionales de campañas de fraude electrónico (phishing) en contra de numerosos intercambios de criptomonedas de Corea del Sur, varios robos exitosos e incluso minería de Bitcoin y Monero", escribieron los investigadores del Grupo Insikt.
La motivación de los hackers de Corea del Norte
Antes de la publicación del informe de Recorded Future, otras empresas de seguridad cibernética habían acusado a grupos de piratería norcoreanos de focalizarse en las plataformas de comercialización de criptomonedas surcoreanas con herramientas sofisticadas de ataque de phishing y malware.
Los investigadores de FireEye vincularon seis ataques cibernéticos dirigidos a intercambios de criptomonedas en Corea del Sur con hackers financiados por el Estado y localizados en Corea del Norte. Más recientemente, como informó Cointelegraph, investigadores de la policía y de la Agencia de Internet y Seguridad de Corea iniciaron la investigación completa en una brecha de seguridad que llevó a la quiebra de YouBit, una plataforma de comercio de criptodivisas en Corea del Sur.
En ese momento, los investigadores locales afirmaron que han encontrado evidencia para vincular la infracción de seguridad de YouBit con hackers de Corea del Norte. El analista superior de FireEye, Luke McNamara, también le dijo a Bloomberg que en el ataque de piratería contra YouBit fueron utilizadas herramientas similares por los piratas cibernéticos norcoreanos.
"Este es un adversario que, según hemos estado viendo, es cada vez más capaz y descarado en términos de los objetivos a los que está dispuesto a perseguir. Esta es sólo una de las puntas en una estrategia más amplia que parecen estar empleando desde, por lo menos, el 2016, en la que han estado utilizando capacidades que han sido usadas principalmente en el espionaje para robar fondos".