El gobierno estadounidense ha decidido aumentar la recompensa ofrecida por cualquier tipo de información relacionada con los grupos de amenazas avanzadas persistentes (APT, Advanced Persistent Threat) norcoreanos. El gran impacto que están suponiendo las actividades ilícitas de estos grupos debido, entre otros, al robo de criptomonedas y al espionaje industrial ha motivado el incremento de las recomensas hasta los diez millones de dólares.
Cartel de recompensa del Departamento de Estado de los EE.UU.
APT en busca y captura
Los grupos APT que más preocupan al Departamento de Estado son: Grupo Lazarus, Andariel, Bluenoroff (APT38) y Kimsuky, debido a que sospechan que están involucrados en ataques contra infraestructuras críticas de los EE.UU. o que se dedican a realizar numerosos fraudes en línea. La recompensa ya se ha doblado respecto a la ofrecida desde el pasado marzo de 2022. La información que buscan es tanto la relativa a los miembros de los grupos APT como a cualquier detalle sobre los mecanismos financieros usados por estos actores posiblemente patrocinados por el estado norcoreano.
El anuncio se ha producido una semana después de que el Departamento de Justicia revelara la incautación de medio millón de dólares en bitcoin de los piratas informáticos norcoreanos que extorsionaban a empresas mediante una nueva variante de ransomware conocida como Maui. Se sospecha que el Grupo Lazarus estaba detrás de esta campaña dirigida contra empresas de blockchain.
A principios de año, la firma Chainalysis publicó un informe en el que denunciaba siete ataques dirigidos contra plataformas de criptomonedas en 2021. Estimaban que el Grupo Lazarus podría estar detrás de estos ataques, habiéndose hecho con casi medio millón de dólares en el proceso.
Nota de prensa oficial
La nota de prensa fue publicada tanto en Twitter como en la web oficial del Departamento de Estado de los EE.UU. En la misma se informaba de que se valora cualquier pista que pueda ayudar a la identificación o localización de cualquier componente de los grupos APT norcoreanos. Para proteger las potenciales fuentes de información, han decido habilitar un canal de informes basado en Tor (Dark Web).
La justificación para para la elevada recompensa han sido las operaciones cibernéticas maliciosas dirigidas a la infraestructura crítica de los EE. UU. y las violaciones de la leyes antifraude. Entre estas acciones, han dado mayor importancia a las amenazas de extorsión (ransomware), accesos no autorizados a sistemas informáticos, robos de información y daños intencionados a sistemas informáticos.
Anuncio en Twitter de la recompensa ofrecida del Departamento de Estado de los EE.UU.
Grupos APT
Los grupos APT son colectivos dedicados a realizar actividades de intrusión relacionadas entre sí por los equipos de investigación de seguridad informática. Se logra relacionar estas actividades maliciosas mediante metodologías analíticas aplicadas sobre los indicadores de compromiso. No obstante, algunos grupos tienen varios nombres asociados debido a que cada equipo de investigación puede haberlos identificado con un nombre diferente antes de sospechar que se podría tratar del mismo grupo APT. Dado que es complicado tener la certeza absoluta de la autoría de un ataque, los grupos APT pueden incluso superponerse parcialmente con los grupos designados por otras organizaciones de seguridad.
Grupo Lazarus
El Grupo Lazarus se sospecha que pertenece a la agencia de inteligencia norcoreana Reconnaissance General Bureau. Posiblemente lleven activos desde 2009, especializándose en el desarrollo de malware. Se le atribuyen, entre otros, el ataque de 2014 contra Sony en el que paralizaron los sistemas informáticos de la empresa y robaron una gran cantidad de datos privados. También se relaciona a este grupo con el desarrollo de malware empleado en otras campañas como la Operación Flame, la Operación 1Mission o la Operación Troy, entre otras. Se sospecha que el Grupo Lazarus puede aglutinar a otros grupos APT norcoreanos.
Andariel
Se trata de un grupo APT relacionado con el gobierno norcoreano que se cree activo desde 2009. Sus objetivos principales parecen ser agencias y organizaciones surcoreanas, a los que han dirigido tanto ataques destructivos como fraudes financieros (tanto bancarios como relacionados con criptomonedas). Los principales ciberataques que se les atribuyen son la Operación Black Mine, la Operación GoldenAxe y la Campaña Rifle. Se sospecha que podrían ser un subgrupo perteneciente al Grupo Lazarus, que trabaja para la agencia de inteligencia norcoreana Reconnaissance General Bureau.
Bluenoroff (APT38)
Este grupo APT parece centrarse en operaciones financieras, sospechándose que se trata de un grupo especializado de la agencia de inteligencia norcoreana Reconnaissance General Bureau. Posiblemente lleve activo desde 2014, enfocándose en ataques contra bancos, entidades finacieras, casinos, cajeros e intercambio de criptomonedas en más de 38 países de todo el mundo. Las operaciones más notables que se les atribuyen son el robo de cerca de 80 millones de dólares al Banco de Bangladesh en 2016 y los ataques de 2018 a los bancos Bancomext y Banco de Chile.
Kimsuky
Activo posiblemente desde 2012, este grupo APT parece tener como objetivos a entidades gubernamentales, think tanks y expertos de diversos campos, principalmente surcoreanos. La especialidad de este grupo parece ser la recolección de datos de inteligencia geopolítica. Se le atribuyen, entre otros, el ataque de 2014 contra Korea Hydro & Nuclear Power Co y las Operaciones Kabar Cobra y Smoke Screen de 2019. Se sospecha que podrían ser un subgrupo perteneciente al Grupo Lazarus, que trabaja para la agencia de inteligencia norcoreana Reconnaissance General Bureau.
Más información:
U.S. offers $10 million reward for information on North Korean hackers en The Hackers News.Foreign malicious ciber activity against U.S. Critical Infrastructure en la página oficial del Departamento de Estado de EE.UU.Listado de grupos APT en la web del Mitre.
La entrada APT norcoreanos en busca y captura por los EE.UU. se publicó primero en Una al Día.
