Cómo los piratas informáticos norcoreanos detrás de WannaCry se salieron con la suya con un impresionante cripto-robo

El líder norcoreano, Kim Jong Un, inspecciona la preparación para el combate de los cazas de la Unidad 1017 de la Fuerza Aérea y Antiaérea del Pueblo de Corea.

El líder norcoreano, Kim Jong Un, inspecciona la preparación para el combate de los cazas de la Unidad 1017 de la Fuerza Aérea y Antiaérea del Ejército Popular de Corea, en un lugar desconocido de Corea del Norte. Associated Press





Los ataques cibernéticos perpetrados contra los intercambios de criptomonedas ahora son comunes, pero el robo de poco más de $ 7 millones del intercambio DragonEx con sede en Singapur en marzo pasado se destaca por al menos tres razones.

En primer lugar, está el esquema de phishing extremadamente elaborado en el que se infiltraron los atacantes, que involucraba no solo sitios web falsos sino también bots falsos de intercambio de criptomonedas. Luego está la forma ingeniosa en que lavaron el cripto-efectivo que robaron. Por último, pero no menos importante: parecen haber estado trabajando para Kim Jong-un.

El atraco, del que se conocieron nuevos detalles publicado recientemente por la firma de análisis de blockchain Chainalysis, muestra cuán buenos se han vuelto los ladrones de bancos digitales de hoy. Y si esto y otros informes tienen razón al señalar a los piratas informáticos de Corea del Norte como los perpetradores, parece ser parte de una estrategia de supervivencia más amplia del régimen de Kim, que ha sido aislado del sistema financiero mundial por las sanciones económicas internacionales destinadas a reducir su programa de armas nucleares.



DragonEx no fue el primer intercambio de cifrado en ser víctima de esta banda de piratas informáticos en particular, que algunos analistas de seguridad llaman Grupo Lazarus. El grupo ha estado apuntando a la industria desde al menos 2017, como parte de una campaña más amplia enfocada en las instituciones financieras. En agosto, un grupo de expertos independientes informó a las Naciones Unidas que Corea del Norte ha generado un estimado de $ 2 mil millones para su programa de misiles mediante el uso de ataques cibernéticos generalizados y cada vez más sofisticados para robar de los bancos y los intercambios de criptomonedas. El uso de criptomonedas por parte del régimen para evadir sanciones está detrás de una advertencia reciente del mismo grupo de expertos de la ONU de no asistir a una próxima conferencia de blockchain en Pyongyang.

Se cree ampliamente que el Grupo Lazarus estuvo detrás de varios ataques que acapararon los titulares, incluida la violación de Sony Pictures en 2014 y el ataque del ransomware WannaCry en 2017, que afectó a cientos de miles de computadoras en 150 países. Pero fue su robo de USD 81 millones del banco central de Bangladesh en 2016 lo que presagió su eventual objetivo de los intercambios de cifrado. Según el FBI , los atacantes pasaron más de un año realizando tareas de reconocimiento antes de obtener acceso al sistema informático del banco a través de una elaborada campaña de phishing.

Plagado de seguridad laxa, el ecosistema de criptomonedas era un blanco fácil para los piratas informáticos de Corea del Norte, que ya tenían experiencia persiguiendo a las instituciones financieras, dice Priscila Moriuchi , jefe de investigación de estado-nación en Recorded Future, una empresa de ciberseguridad. Son mucho más capaces de lo que creen, especialmente en el lado de los delitos financieros, dice Moriuchi.



Para comprometer a DragonEx, Lazarus creó una empresa falsa que anunciaba un bot automatizado de comercio de criptomonedas llamado Worldbit-bot, dice Cadenaanálisis . La empresa inventada tenía un sitio web y sus empleados inventados incluso tenían presencia en las redes sociales. Cuando presentaron una prueba gratuita del software comercial a los empleados de DragonEx, alguien mordió y descargó malware en una computadora que contenía las claves privadas para las billeteras del intercambio.

En investigación publicada a principios de este mes, Kaspersky describió otro de los esquemas recientes del Grupo Lazarus, que aparentemente también se dirigía a las empresas de criptomonedas. En este caso, los atacantes crearon empresas falsas y luego incitaron a los objetivos a descargar malware utilizando la popular aplicación de mensajería Telegram.

Sin embargo, entrar y robar dinero no es suficiente. Tienen que cobrar. El año pasado, Lazarus Group ha renovado por completo la forma en que lo hace, según Chainalysis. El año pasado, parecía bastante poco sofisticado en sus técnicas de lavado de dinero, por lo general dejaba reposar los fondos robados durante 12 a 18 meses antes de retirarlos mediante un intercambio que no realiza un seguimiento de quiénes son sus clientes. (Los intercambios de criptomonedas en la mayoría de las jurisdicciones deben realizar un seguimiento de las identidades de sus clientes, exactamente por este motivo).



La forma en que el grupo movió su dinero después del ataque a DragonEx en marzo pasado aparentemente fue mucho más sofisticada. Usaron muchos más pasos intermedios, incluidos intercambios y una variedad de billeteras digitales. Las monedas terminaron en un tipo especial de billetera que utiliza una tecnología de privacidad compatible con Bitcoin llamada CoinJoin, que combina transacciones de múltiples usuarios de una manera que dificulta saber quién envió qué pago a qué destinatario. Y los piratas cobraron más rápido: casi todos los fondos se trasladaron a los servicios de liquidación dentro de los 60 días, según Chainalysis.

Los métodos nuevos y mejorados de los piratas informáticos de Corea del Norte pueden decir menos sobre sus propias capacidades que sobre las herramientas de lavado de dinero ahora disponibles en el mundo de las criptomonedas. La jefa de investigación de Chainalysis, Kim Grauer, dice que en 2019 su equipo notó un gran aumento en la infraestructura de lavado avanzada a la que varias organizaciones criminales pueden simplemente conectarse. En otras palabras, incluso los delincuentes que no son expertos en cadenas de bloques pueden tener fácil acceso a métodos sofisticados para cubrir sus huellas después de robar su criptografía. De cualquier manera, mientras los intercambios tengan agujeros de seguridad, grupos como Lazarus seguirán robándolos.

esconder