Cripto-hackers norcoreanos: Separando la realidad de la ficción
Se considera que la República Popular Democrática de Corea es un Estado patrocinador de hackeos y robos de criptomonedas. Si bien varios presidentes de los Estados Unidos han intentado sofocar el crecimiento del desarrollo de la energía nuclear de Corea del Norte mediante una serie de sanciones económicas, la guerra cibernética es un fenómeno nuevo que no puede abordarse de manera tradicional.
Lamentablemente para la industria de las criptomonedas, la República Popular Democrática de Corea se ha aficionado a las monedas digitales y parece estar intensificando con éxito sus operaciones en torno al robo y el blanqueo con criptomonedas para eludir las paralizantes sanciones económicas que han llevado a la pobreza extrema en el Estado paria.
Algunas pruebas sugieren que Pyongyang ha acumulado más de 2.000 millones de dólares en ataques de ransomware, hackeos e incluso robos de criptomonedas directamente del público a través de un espectro de trucos de phishing muy sofisticados. Las fuentes explican que el régimen emplea varias tácticas para convertir los fondos robados en criptomonedas, mantenerlos en el anonimato y luego cobrarlos a través de operativos en el extranjero. Toda esta actividad ha recibido un nombre por parte de las autoridades de los Estados Unidos: ” hidden cobra“.
Para lograr todo esto, no sólo es necesario que la operación esté respaldada por el Estado, sino que muchas personas altamente capacitadas y especializadas tienen que participar en el proceso para llevar a cabo los robos. Entonces, ¿tiene la República Popular Democrática de Corea los medios y la capacidad para participar en una guerra cibernética a escala mundial, incluso cuando los dirigentes del país admiten abiertamente que el país está en un estado de deterioro económico?
¿Cuánto exactamente han robado los hackers?
El 2020 continúa el patrón de múltiples actualizaciones sobre cuánto dinero han robado supuestamente los hackers respaldados por la RPDC. Un informe de las Naciones Unidas de 2019 indica que Corea del Norte ha robado alrededor de 2.000 millones de dólares de los exchanges de criptomonedas y bancos.
Las estimaciones más recientes parecen indicar que la cifra está alrededor de la marca de 1,5 a 2,5 mil millones de dólares. Estas cifras sugieren que, aunque es difícil conseguir los datos exactos, los esfuerzos de hackeos informáticos van en aumento y están aportando más fondos cada año. Además, los múltiples informes sobre nuevos programas de ransomware, elaborados hackeos y novedosos métodos de aplicar ransomware, sólo apoyan estos datos.
Madeleine Kennedy, directora senior de comunicaciones de la firma de cripto-forenses Chainalysis dijo a Cointelegraph que la estimación más baja es probablemente subestimada:
Estamos seguros de que han robado más de 1,5 mil millones de dólares en criptomonedas. Parece probable que la República Popular Democrática de Corea invierta en esta actividad porque estas campañas han sido muy exitosas.
Sin embargo, Rosa Smothers, vicepresidenta senior de la empresa de seguridad cibernética KnowBe4 y ex oficial de inteligencia técnica de la CIA, dijo a Cointelegraph que a pesar de las recientes acusaciones del Departamento de Justicia de los Estados Unidos de que los hackers norcoreanos robaron casi 250 millones de dólares de dos exchanges de criptomonedas, la cifra total puede no ser tan alta, añadiendo: “Dada la reciente admisión pública de Kim Jong Un de la pésima situación económica del país, 1,5 mil millones de dólares me parece una sobreestimación“.
¿Cómo operan los grupos de hackers?
No está muy claro cómo se organizaron exactamente esos grupos de hackers norcoreanos y dónde tienen su base, ya que ninguno de los informes dibuja un cuadro definitivo. Recientemente, el Departamento de Seguridad Nacional de EE.UU. declaró que un nuevo grupo de hackers patrocinado por la RPDC, BeagleBoyz, está ahora activo en la escena internacional. La agencia sospecha que la banda es una entidad separada, pero afiliada al infame grupo Lazarus, que se rumorea que está detrás de varios ciberataques de alto perfil. DHS cree que BeagleBoyz ha intentado robar casi 2 mil millones de dólares desde 2015, apuntando principalmente a la infraestructura bancaria como los cajeros automáticos y el sistema SWIFT.
Según Ed Parsons, director ejecutivo de F-Secure en el Reino Unido, “El ‘BeagleBoyz’ parece ser el nombre del gobierno de los Estados Unidos para un reciente conjunto de actividades dirigido a objetivos financieros en 2019/2020″, añadiendo que se desconoce si la unidad es nueva o “un nuevo nombre vinculado a una campaña inicialmente no atribuida que luego fue vinculada a la actividad de la RPDC”. Además, dijo a Cointelegraph que los ejemplares de malware estaban asociados a los que tenían el nombre en clave “hidden cobra”, que es un término utilizado por el gobierno de los Estados Unidos para identificar la actividad en línea de la República Popular Democrática de Corea.
Según la Agencia de Seguridad e Infraestructura de los Estados Unidos, la actividad relacionada con hidden cobra fue señalada en 2009 e inicialmente tenía como objetivo exfiltrar información o interrumpir los procesos. Los principales vectores de ataque son “botnets DDoS, registradores de teclas, herramientas de acceso remoto (RAT) y malware de limpieza”, dirigidos a las versiones más antiguas del software de Microsoft Windows y Adobe. En particular, los actores de hidden cobra hacen uso de la infraestructura de las redes de bots DDoS, conocida como DeltaCharlie, que está asociada a más de 600 direcciones IP.
John Jefferies, analista financiero jefe de CipherTrace, una empresa forense Blockchain, dijo a Cointelegraph que hay varios grupos de hackers informáticos prominentes y que es extremadamente difícil diferenciar entre ellos. Anastasiya Tikhonova, directora de APT Research en Group-IB, una empresa de ciberseguridad, se hizo eco del sentimiento diciendo que independientemente del nombre del grupo que se adjunte, los vectores de ataque son muy similares:
“El acceso inicial a las organizaciones financieras objetivo se obtiene mediante el spear phishing, ya sea a través de correos electrónicos con un documento malicioso disfrazado de oferta de trabajo o mediante un mensaje personal en las redes sociales de una persona que se hace pasar por un reclutador. Una vez activado el archivo malicioso descarga el NetLoader”.
Además, varios expertos han señalado a los JS-sniffers como la última amenaza que ha surgido, más comúnmente vinculado al grupo Lazarus. JS-sniffers es un código malicioso que fue diseñado para robar datos de pago de pequeñas tiendas en línea, un ataque en el que todas las partes que participaron en la transacción tendrían su información personal expuesta.
En general, los grupos de hackers informáticos parecen estar perfeccionando el uso de un conjunto muy específico de herramientas maliciosas que se centran en el phishing, por el que empleados de la empresa sin saberlo instalan el software infestado que luego se extiende por todo el sistema de la empresa apuntando a las funciones principales. Los ejemplos más notables de actividad sospechosa son el hackeo de Sony Pictures en 2014 y la propagación del malware WannaCry en 2017.
Según varias fuentes, la mayoría de los ataques se ejecutan con un alto nivel de calidad, donde evidencian largos preparativos. Los últimos ejemplos de 2020 incluyen un sitio web de un falso robot de trading construido para atraer a los empleados del exchange DragonEX, que recaudó 7 millones de dólares en criptomonedas.
A finales de junio, un informe advirtió que el Grupo Lazarus tratará de lanzar un ataque específico COVID-19 en el que los hackers informáticos se harían pasar por oficinas gubernamentales de países que están emitiendo ayuda financiera relacionada con la pandemia para dirigir a los destinatarios incautos de correo electrónico a un sitio web malicioso que desviaría datos financieros y pediría pagos en criptomonedas. Además, los solicitantes de empleo en la industria de las criptomonedas también parecen estar amenazados ya que, según un informe reciente, los hackers están utilizando correos electrónicos del tipo LinkedIn para enviar ofertas de empleo falsas que contienen un archivo MS Word malicioso.
Los más notables son los ataques a los exchanges de criptomonedas. Aunque se desconoce la cantidad exacta robada de los exchanges, varios informes de empresas de seguridad cibernética y de diversos organismos gubernamentales cifran la cantidad estimada en más de mil millones de dólares. Sin embargo, sólo se sospecha que la República Popular Democrática de Corea está detrás de algunos de esos hackers y sólo un puñado de casos han sido rastreados hasta el régimen. El ejemplo más conocido es el hackeo del exchange Coincheck con sede en Japón, durante el cual se robaron 534 millones de dólares en tokens NEM.
A finales de agosto de 2020, una declaración del Departamento de Justicia de los Estados Unidos esbozó los detalles de una operación de lavado de fondos robados a través de criptomonedas, que se remontaba a 2019. Se cree que los hackers apoyados por Corea del Norte iniciaron el robo con el apoyo de una red china de lavado de dinero. Los dos ciudadanos chinos en cuestión utilizaron el método de la “peel chain ” para blanquear 250 millones de dólares a través de 280 carteras digitales diferentes, en un intento de encubrir el origen de los fondos.
Según Kennedy, los grupos de hackers vinculados a la RPDC se están volviendo más sofisticados en el hackeo y el lavado: “Específicamente, estos casos destacaron su uso de “chain hopping” (en español como “salto de cadena”), o el comercio de ellos en otras criptomonedas como stablecoins. Luego convierten los fondos lavados en Bitcoin“. El salto de cadena se refiere a un método en el que las criptomonedas rastreables se convierten en monedas de privacidad como Monero o Zcash.
Abordando el aparente éxito de los hackers, Parsons cree que:
El pequeño espacio IP/acceso a Internet en la RPDC, así como su naturaleza menos conectada a los sistemas globales/en línea, podría decirse que le ofrece una ventaja asimétrica en relación con las operaciones cibernéticas.
Hablando con Cointelegraph, Alejandro Cao de Benos, delegado especial del Comité de Relaciones Culturales con el Extranjero de la RPDC, refutó las afirmaciones de que el país está detrás de los ciberataques de criptomonedas, afirmando que se trata de una “gran campaña de propaganda” contra el gobierno:
“Por lo general, la República Popular Democrática de Corea siempre es retratada en los medios de comunicación como un país atrasado sin acceso a Internet o incluso a la electricidad. Pero al mismo tiempo siempre la acusan de tener mayor capacidad, conectividad más rápida, mejores computadoras y expertos que incluso los mejores bancos o agencias del gobierno de EE.UU.”. No tiene sentido sólo desde un punto de vista lógico y tecnológico básico”.
¿Cuál es el tamaño de la supuesta fuerza cibernética y dónde se encuentran?
Otro número que varios informes y estudios no concuerdan es el tamaño de la fuerza cibernética que el gobierno norcoreano supuestamente respalda. Más recientemente, el informe del Ejército de los Estados Unidos “Tácticas de Corea del Norte” declaró que la cifra asciende a 6.000 operativos, principalmente repartidos por Bielorrusia, China, India, Malasia, Rusia y varios otros países, todos unidos bajo el liderazgo de una unidad de guerra cibernética llamada “Bureau 121”, “Oficina 121” en español.
Parsons cree que la cifra se derivó muy probablemente de estimaciones anteriores obtenidas de un desertor que huyó de la República Popular Democrática de Corea en 2004, aunque lo admite: “La cifra también puede haber sido generada por la inteligencia interna de los EE.UU. que no es públicamente atribuible“. Tikhonova estuvo de acuerdo en que es difícil evaluar el tamaño de la fuerza: “Diferentes informes pueden dar una pista de la estrategia de ‘contratación’ del régimen“, dijo, continuando con eso:
“Los norcoreanos han estado supuestamente atrayendo a estudiantes de las universidades. Además, algunos de los hackers informáticos norcoreanos fueron reclutados mientras trabajaban para empresas de tecnología en otros países. Por ejemplo, Park Jin Hyok, un presunto miembro de la APT de Lazarus buscado por el FBI, trabajaba para la empresa de tecnología Chosun Expo con sede en Dalian, China”.
Smothers era más escéptico sobre la conclusión del informe, aunque afirmaba que: “Esto concuerda con el informe del Ministerio de Defensa de Corea del Sur que, hace unos años, estimó su número en 3.000“, añadiendo que si alguien tiene esa información, sería Corea del Sur. Abordando la cuestión de cómo se organiza la fuerza cibernética establecida y dónde está basada, también estuvo de acuerdo en que la mayoría de los hackers estarían estacionados en todo el mundo “dado el limitado ancho de banda en Corea del Norte“.
Jefferies también cree que “los hackers norcoreanos tienen su base en todo el mundo, un privilegio que se concede a muy pocos en el país“, añadiendo además que en la mayoría de los casos, los hackeos atribuidos a Corea del Norte no son llevados a cabo por hackers a sueldo. Tikhonova proporcionó una posible razón detrás de ambas afirmaciones, diciendo:
Es poco probable que den acceso a alguien a su lista de objetivos potenciales o a sus datos, dada la sensibilidad de las operaciones, por lo que éstas son llevadas a cabo por los propios norcoreanos.
¿Qué se puede hacer para detener a los hackers?
Parece que, hasta ahora, identificar el movimiento de dinero y descubrir a algunos de los terceros involucrados es lo único que se ha hecho con éxito, al menos en público. Un informe de BAE systems y SWIFT ha llegado a esbozar cómo los fondos robados por el Grupo Lazarus son procesados a través de facilitadores de Asia Oriental, eludiendo los procedimientos anti lavado de dinero de algunos exchanges de criptomonedas.
Jeffreries cree que hay que hacer más en ese sentido: “Las autoridades deben promulgar y hacer cumplir las leyes contra el blanqueo de dinero en criptomonedas y la reglamentación de las Normas de Viaje para asegurar que se denuncien las transacciones sospechosas“. También subrayó la importancia de que las autoridades se aseguren de que los proveedores de servicios de activos virtuales desplieguen medidas adecuadas de KYC.
“Una táctica conocida utilizada por los profesionales del blanqueo de dinero respaldados por Corea del Norte fue el uso de identificaciones falsas para crear cuentas en múltiples exchanges. Los exchanges con controles KYC más fuertes podían detectar mejor estas cuentas fraudulentas y evitar el abuso de sus redes de pago”.
Según la información revelada por el Departamento de Justicia de los Estados Unidos, los que blanquean el dinero apuntan a los exchanges con requisitos de KYC más débiles. Aunque no se han nombrado plataformas, es probable que se trate de exchanges más pequeños que operan únicamente en el mercado asiático. También está la cuestión de que algunas autoridades no pueden tomar medidas cuando se trata de empresas que no están bajo su jurisdicción, como señala Smothers:
“La naturaleza global de estos exchanges, así como los actores chinos de OTC (over-the-counter cryptocurrency trading), limita la capacidad de nuestro Departamento de Justicia para tomar medidas rápidas. Por ejemplo, el Departamento de Justicia presentó una demanda civil en marzo, pero los OTC chinos retiraron todos los fondos de las cuentas de destino a las pocas horas de la presentación del Departamento de Justicia”.
Pero lo que complica aún más las cosas es que, según un informe de Chainalysis de 2019, los que blanquean los fondos pueden tardar meses, si no años, en completar el proceso. Según los autores apoyaron la noción de que los ataques eran para beneficio financiero ya que las criptomonedas robadas podían permanecer ociosa en las carteras hasta 18 meses antes de ser trasladadas por miedo a ser detectadas.
Sin embargo, los investigadores creen que desde 2019, las tácticas empleadas por los delincuentes han cambiado para dar cabida a retiros más rápidos mediante el uso extensivo de mezcladores de criptomonedas para ocultar la fuente de los fondos. Kennedy explicó más adelante:
“No podemos hablar de las razones detrás de sus técnicas, pero hemos notado que estos actores a menudo mueven dinero de un hackeo, luego se detienen para concentrarse en mover dinero de otro hackeo, y así sucesivamente. […] Los exchanges de criptomonedas fueron críticos en las investigaciones, y los sectores público y privado están trabajando juntos para hacer frente a las amenazas de estos hackers.”
¿Qué tan serio es el problema?
Cuando se habla de la República Popular Democrática de Corea, es difícil evitar los temas de las violaciones de los derechos humanos y el programa nuclear que el país, según se informa, sigue llevando a cabo, a pesar del endurecimiento de las sanciones económicas.
En ese sentido, el gobierno dinástico guiado por el líder supremo Kim Jong Un es visto como una considerable amenaza para el mundo: Pero ahora, no es sólo por las aspiraciones nucleares del régimen. Aunque los ataques de seguridad cibernética en la mayoría de los casos no son directamente perjudiciales para una vida humana, estos esfuerzos proporcionan un flujo constante de ingresos para que el Estado continúe fortaleciendo sus ideales y objetivos.
Pero, lo que tal vez sea más preocupante, es que, según varios comentaristas citados en este artículo, los grupos de hackers informáticos que parecen estar respaldados por el régimen norcoreano siguen expandiéndose y ramificando sus operaciones, ya que sus métodos están demostrando ser sumamente exitosos. Jefferies, por ejemplo, cree que: “No es una sorpresa que continúen construyendo e invirtiendo en sus capacidades cibernéticas“.
Esta es una traducción de un artículo original de Cointelegraph Magazine.
Sigue leyendo: