Un grupo de hackers de Corea del Norte fue identificado este miércoles como uno de los principales responsables de la ola de ciberataques contra entidades financieras que este año ha provocado "cientos de millones de dólares" en pérdidas.
De acuerdo con la firma de ciberseguridad estadounidense FireEye, se trata de un grupo de élite dentro de las cibertropas norcoreanas identificado con el nombre APT38 y que tiene el objetivo de conseguir fondos para el aislado régimen de Kim Jong-un.
Los investigadores de FireEye aseguran, sin embargo, que APT38 es una de muchas células reunidas bajo el paraguas conocido como Lázaro, pero que posee habilidades específicas y herramientas avanzadas que les ha permitido realizar enormes robos en bancos de todo el mundo.
"Son un grupo cibercriminal con las habilidades de una campaña de ciberespionaje", dijo Sandra Joyce, vicepresidenta de Inteligencia en FireEye, citada por la agencia AFP. "Se toman su tiempo para aprender las particularidades de cada organización", agregó.
Una vez que lo logran, explicó, "despliegan malware al salir" para ocultar sus pasos y dificultar el rastreo.
Joyce explicó que la empresa decidió revelar la identidad del grupo debido a "un sentido de urgencia", ya que el APT38 continúa activo y opera "a pesar de los esfuerzos diplomáticos", en referencia al deshielo en las relaciones entre Corea del Norte y los Estados Unidos.
Al menos 16 instituciones afectadas en 12 países
Las instituciones financieras atacadas desde el 2014 hasta la actualidad se encuentran a lo largo del mundo en los Estados Unidos, México, Brasil, Chile, Turquía, Bangladesh, Malasia, Vietnam y Filipinas.
Además, Polonia, México, Uruguay y Rusia fueron usados por el grupo como infraestructura para lanzar los ataques.
Entre los 16 bancos e instituciones afectados se encuentran el Tien Phong Bank de Vietnam en 2015, el Banco de Bangladesh en 2016 y el Far Eastern Internacional Bank de Taiwán en 2017.
En tanto, en 2018, Bancomext de México y el Banco de Chile fueron afectados por APT38. FireEye también cita en su informe un posible ataque sobre el Banco del Austro en Ecuador.
Técnicas sofisticadas e identidades falsas
En total, APT38, que cuenta con "los recursos de un Estado", atacó activos por un valor de 1.100 millones de dólares y logró robar "cientos de millones basado en la información que pudimos confirmar", indica FireEye en el informe.
"APT38 tiene la misión específica de robar dinero para financiar al régimen de Corea del Norte", señaló por su parte Joyce.
Entre las técnicas utilizadas se incluyen los ataques de phishing, por el cual se engaña a las personas para que entreguen información sensible mediante correos electrónicos y otros mensajes apócrifos, y también el uso de watering holes, sitios webs que parecen normales pero que están infectados con malware.
Como parte del ataque los hackers crearon también identidades falsas haciéndose pasar por fundaciones u organizaciones no gubernamentales para luego mover el dinero, y en varios casos atacaron específicamente al sistema SWIFT de intercambio financiero interbancario global.
MÁS SOBRE ESTE TEMA: