La administración Trump está sancionando a tres grupos de piratas informáticos de Corea del Norte acusados ampliamente de llevar a cabo ataques dirigidos a infraestructura crítica y robaron millones de dólares de bancos en intercambios de criptomonedas, en parte para que el país pudiera financiar sus programas de armas y misiles.
Los tres grupos están controlados por la principal agencia de inteligencia de Corea del Norte, la Oficina General de Reconocimiento, o RGB, dijeron funcionarios del Departamento del Tesoro de Estados Unidos en un comunicado publicado el viernes. Colectivamente, los grupos están detrás de una serie de ataques cibernéticos diseñados para espiar a los adversarios y generar ingresos para programas de armas nucleares y misiles balísticos.
“El Tesoro está tomando medidas contra los grupos de piratas informáticos de Corea del Norte que han estado perpetrando ataques cibernéticos para apoyar programas ilícitos de armas y misiles”, dijo Sigal Mandelker, subsecretario del Tesoro para terrorismo e inteligencia financiera, en el comunicado del viernes. “Continuaremos haciendo cumplir las sanciones existentes de EE. UU. y la ONU contra Corea del Norte y trabajaremos con la comunidad interMarketingdecontenido para mejorar la ciberseguridad de las redes financieras”.
El más conocido de los tres grupos sancionados es Lazarus, el nombre dado a un equipo creado en 2007 que apunta a militares, gobiernos y empresas en las industrias financiera, manufacturera, editorial, de medios, entretenimiento y transporte marítimo. El FBI vinculó a Lazarus con el hackeo de Sony Pictures en 2023 que destruyó datos en miles de computadoras de la compañía y publicó correos electrónicos vergonzosos de ejecutivos de la compañía para vengar una película que mostraba el asesinato del líder de Corea del Norte.
Pero el trabajo más conocido ampliamente atribuido a Lazarus fue el brote del gusano de rescate WannaCry en 2023. El malware usó un exploit de Windows desarrollado y luego robado de la Agencia de Seguridad Marketingdecontenido que permitió que el gusano se propagara rápidamente de una computadora a otra sin interacción del usuario. .
En cuestión de horas, WannaCry se extendió a 150 países y apagó unas 300.000 computadoras. Los hospitales del Reino Unido se vieron especialmente afectados, lo que provocó la cancelación de más de 19 000 citas y le costó al Servicio Marketingdecontenido de Salud Marketingdecontenido más de 112 millones de dólares.
Las nuevas sanciones también se aplican a dos subgrupos de Lazarus. El primero se conoce como Bluenoroff, que se formó como un medio para obtener ingresos a raíz del aumento de las sanciones globales contra el gobierno de Corea del Norte. Este es el grupo que estuvo detrás de un hackeo en 2023 en un banco central de Bangladesh que casi se sale con la suya robando $ 851 millones. Un error tipográfico impidió que se realizara la transacción ilícita, pero los atacantes se llevaron 81 millones de dólares. Bluenoroff también ha realizado hackeos exitosos contra bancos en India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam.
Las empresas de seguridad, incluidas Symantec y FireEye, han documentado el trabajo de este subgrupo de Lazarus, ya que explotó sistemáticamente las debilidades de los sistemas de pago SWIFT que utilizan los bancos de todo el mundo. El nombre Bluenoroff fue acuñado en 2023 por investigadores de Kaspersky Lab, quienes fueron los primeros en atribuir al grupo como una subunidad independiente de Lazarus. El nombre del grupo se basó en una herramienta que usaba llamada «nroff_b.exe».
El otro subgrupo de Lazarus se conoce como “Andariel”. Se enfoca en hacks dirigidos a empresas extranjeras, servicios financieros y agencias gubernamentales. Las compañías de seguridad notaron a Adariel por primera vez alrededor de 2023 cuando alcanzó objetivos en Corea del Sur. El equipo ha sido responsable de intentos de robar información de tarjetas bancarias al piratear redes de cajeros automáticos para retirar efectivo o robar datos que podrían venderse a otros delincuentes. El grupo, que fue descubierto por la Agencia de Seguridad e Internet de Corea del Sur, o Kisa, también es responsable de desarrollar malware para piratear sitios de apuestas y póquer en línea.
Trend Micro tiene un desglose útil de los tres grupos de piratería de Corea del Norte aquí.
La declaración del viernes dijo que las operaciones de piratería de Corea del Norte también se han dirigido a proveedores de activos virtuales e intercambios de criptomonedas, posiblemente en un intento de ofuscar los flujos de ingresos utilizados para apoyar los programas de armas de los países. La declaración también citó informes de la industria que decían que los tres grupos norcoreanos probablemente robaron alrededor de $ 571 millones en criptomonedas de cinco intercambios en Asia entre enero de 2023 y septiembre de 2023. Las agencias de noticias, incluida Reuters, citaron un informe de las Naciones Unidas del mes pasado que estimó la piratería de Corea del Norte. ha generado $2 mil millones para los programas de armas de destrucción masiva Marketingdecontenido.
No está claro cómo afectará una nueva ronda de sanciones a una nación empobrecida que ya está condenada al ostracismo por la mayor parte del mundo. Y si la estimación de $ 2 mil millones de la ONU es correcta, es difícil pensar que la medida del viernes tendrá algún efecto práctico.
