Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo.

Si bien los objetivos pueden ser cualquiera o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy, vamos a revisar las actividades del grupo de Lázaro, alternativamente llamado Cobra Oculta y Guardianes de la Paz.

¿Quién es el Grupo Lázaro?

Se cree que el Grupo Lazarus está dirigido por el gobierno de Corea del Norte, motivado principalmente por la ganancia financiera como un método para eludir las sanciones de larga duración contra el régimen. La primera vez que llegaron a un importante aviso en los medios fue en 2013 con una serie de ataques coordinados contra una variedad de organismos de radiodifusión e instituciones financieras de Corea del Sur que utilizan DarkSeoul, un programa de limpiaparabrisas que sobrescribe secciones del registro maestro de arranque de las víctimas.

En noviembre de 2014, se atribuyó a Lazarus una violación a gran escala de Sony Pictures . El ataque fue notable debido a su penetración sustancial en las redes de Sony, la gran cantidad de datos exfiltrados y filtrados, así como el uso de un limpiaparabrisas en un posible intento de borrar evidencia forense. La atribución de los ataques fue en gran medida confusa, pero el FBI publicó una declaración que vinculaba la brecha de Sony con el ataque DarkSeoul anterior, y atribuyó oficialmente ambos incidentes a Corea del Norte.

Avance a mayo de 2017 con el brote generalizado de WannaCry , una pieza de ransomware que utilizó un exploit SMB como un vector de ataque. La atribución a Corea del Norte se basó en gran medida en la reutilización del código entre WannaCry y los ataques anteriores de Corea del Norte, pero se consideró que esto se debía a razones limitadas dada la práctica común de compartir herramientas entre grupos de amenazas regionales. Las agencias de inteligencia occidentales emitieron declaraciones oficiales al público reafirmando la atribución, y el 6 de septiembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a un ciudadano norcoreano de participar en WannaCry y Sony.

Más recientemente, el brazo motivado financieramente de Lazarus Group ha estado captando la atención por los ataques contra las instituciones financieras, así como los intercambios de criptomonedas. Este último es notable por involucrar aplicaciones de comercio troyano para Windows y MacOS.

Malware implementado comúnmente

¿Debería estar preocupado?

Sí, pero no en la medida en que puedas pensar. Las actividades del Grupo Lazarus se centran en la ganancia financiera, así como en el logro de los objetivos políticos del régimen de Corea del Norte. Dado que los objetivos políticos declarados de Corea del Norte tienden a centrarse en los conflictos regionales con Corea del Sur y Japón, es probable que las empresas fuera de esa esfera corran un bajo riesgo de ataques por motivos políticos.

Sin embargo, las motivaciones financieras representan un riesgo significativo para casi todas las organizaciones. Afortunadamente, la defensa contra estos tipos de ataques es en gran medida la misma, ya sea que estén o no patrocinados por el estado. Los defensores deben tener una sólida capacidad de monitoreo de registros, un programa de administración de parches, protección anti-phishing y marcas para distinguir las comunicaciones legítimas del liderazgo de los impostores.

¿Qué podrían hacer después?

La atribución de los ataques de Lázaro es más suave que con muchos otros grupos de amenazas, y las motivaciones políticas de Corea del Norte han resultado difíciles durante décadas. Como resultado, es difícil proyectar cuáles podrían ser sus próximos objetivos. Sin embargo, es razonable suponer que mientras se mantengan las sanciones para el liderazgo de Corea del Norte, las motivaciones financieras de Lázaro también se mantendrán. Las organizaciones con un riesgo particular de ataques motivados financieramente deben incluir a Lázaro mientras consideran las medidas de seguridad.