Los hackers norcoreanos están de vuelta. Esta vez, cuatro agencias de seguridad pertenecientes al gobierno de los Estados Unidos han identificado una nueva campaña de ciberataques contra bancos realizada por un grupo vinculado al régimen de Corea del Norte.
Bautizada como “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks” (Efectivo rápido 2.0: el grupo norcoreano BeagleBoyz robando bancos), la campaña detectada tiene como objetivo específico los cajeros automáticos y las terminales SWIFT de los bancos, y pretende paliar la falta crónica de recursos y especialmente dólares que afecta a Pyongyang.
De la investigación participaron la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Departamento del Tesoro, el Buró Federal de Investigaciones (FBI) y el Ciber Comando de los Estados Unidos (USCYBERCOM), dependientes del gobierno de los Estados Unidos.
Hackers norcoreanos ya habían sido señalados por la empresa de ciberseguridad FireEye como responsables del ataque a gran escala contra bancos en todo el mundo en 2018. Además, en 2019 la ONU también denunció al régimen de Kim Jong-un de orquestar el robo de cerca de 2.000 millones de dólares de instituciones financieras.
“El aparato de inteligencia de Corea del Norte controla un equipo de hackers dedicados al robo de banco a mediante el acceso remoto a través de internet”, indica el informe oficial publicado este miércoles por CISA.
Los BeagleBoyz (“Muchachos del Beagle”) han estado involucrados al menos desde de 2015 en el uso fraudulento del sistema SWIFT de transferencias bancarias internacionales, así como también de ataques contra cajeros automáticos desde 2018.
No estaba claro en un principio que este grupo al que se le atribuyen los ataques recientes sea el mismo que habría estado detrás de las operaciones de 2018 (los famosos APT38 y Lazarus), ya que los métodos y tácticas son diferentes. Pero se cree que, cuanto menos, estos colectivos estén vinculados y relacionados, unidos en el objetivo de proveer recursos al régimen de Corea del Norte, acorralado por las sanciones internacionales de parte del Consejo de Seguridad de las Naciones Unidas.
Precisamente, este tipo de fondos obtenidos por medio de ciberataques pueden ser luego utilizados para financiar actividades ilegales expresamente prohibidas por la ONU, como el desarrollo de armas nucleares y misiles balísticos de corto, medio y largo alcance, de las que el régimen es tan adepto y las cuales requieren de enormes cantidades de dinero.
“Riesgo severo”
“Los robos a bancos de parte de BeagleBoyz representan un riesgo operacional severo para las empresas individuales más allá del daño a la reputación y las pérdidas financieras generadas por el robo y los costos de recuperación”, detalla el informe de CISA.
Según estimaciones del gobierno de Estados Unidos, los BeagleBoyz han lanzado ataques contra activos por un valor de dos billones de dólares. No estaba del todo claro con cuánto del botín efectivamente se hicieron, pero se cree que el número ronda los cientos de millones.
Además de las pérdidas financieras, estos ciberataques han generado, como efecto secundario, duros golpes a los sistemas informáticos de las instituciones golpeadas, en algunos casos dejándolos fuera de servicio.
Por ejemplo, en 2018 un banco en África debió suspender las operaciones de sus cajeros automáticos por dos meses luego de una ataque del tipo FastCash, de acuerdo al reporte.
Este tipo de ataque comienza con una campaña de “phishing”, es decir mensajes apócrifos enviados a los empleados de los bancos intentando engañarlos para que hagan click en un enlace malicioso y por tanto faciliten la infección de la red interna. Luego, se programa a uno o varios cajeros automáticos para que entreguen dinero a los atacantes.
Ese mismo año los BeagleBoyz provocaron el colapso de miles de computadores y servidores pertenecientes al Banco de Chile, con el sólo propósito de generar una distracción mientras se hackeaba a la terminal SWIFT de la institución.
En el mayor de los ataques perpetrados por el grupo, se golpearon a instituciones financieras en 30 países al mismo tiempo.
Qué se sabe de los BeagleBoyz
El gobierno de Estados Unidos considera que el grupo pertenece a la Oficina General de Reconocimiento de la República Popular Democrática de Corea y comenzó a operar en 2014.
No se trata de un típico grupo de ciberdelincuentes, que en muchas ocasiones aceptan encargos de diferentes países. Por el contrario, sus operaciones están bien planeadas y coordinadas, son disciplinados y metódicos, y por esta razón su accionar se asemeja más al de un grupo de inteligencia estatal.
“El grupo utiliza siempre una aproximación calculada, lo que les permite mejorar sus tácticas, técnicas y procedimientos y evitar así la detección”, señala el reporte de CISA.
Entre 2015 y 2020 se han detectado ataques en Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Corea del Sur, Costa Rica, Ecuador, España, Ghana, India, Indonesia, Japón, Jordania, Kenya, Kuwait, Filipinas, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Singapur, Sudáfrica, Taiwan, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam y Zambia.
Cómo funcionan los ciberataques
Los BeagleBoyz se concentran en dos tipos de ataques. El primero, de FastCash, se concentra en las redes de pagos de las instituciones financieras. La infección se realiza mediante el ya mencionado “phishing”, tras lo cual se accede al servidor de pagos del banco y de esta manera a los cajeros automáticos. Entonces sólo resta designar el aparato y el momento para que el atacante recoja el dinero.
El segundo se concentra en las transacciones internacionales. La forma de infectar es exactamente la misma, pero luego los atacantes proceden a la terminal SWIFT del banco y organizan una transferencia internacional (el llamado “wire”) a otro banco beneficiario. En el último paso el atacante recibe una segunda transferencia a una cuenta.