Estados Unidos advierte que hackers Norcoreanos están atacando bancos a nivel mundial
Los hackers norcoreanos identificados como BeagleBoyz han estado utilizando herramientas maliciosas de acceso remoto para llevar a cabo sus ataques. Los ataques se están llevando a cabo para robar millones de bancos internacionales, según un aviso emitido por varias agencias del gobierno de Estados Unidos.
El comunicado conjunto dice que el grupo de hacking BeagleBoyz de Corea del Norte ha comenzado una vez más a robar bancos. Lo están haciendo a través del acceso remoto a Internet desde febrero de 2020; el fin es financiar el régimen de Corea del Norte.
BeatleBoys está apuntando a bancos en más de 30 países en un esquema de robo bancario en curso. El objetivo es robar $2 mil millones, como tuiteó el Cibercomando de Estados Unidos .
La información compartida por el gobierno de Estados Unidos es el resultado de información recopilada e investigada por analistas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). También han participado el Departamento del Tesoro (Treasury)), el Buró Federal de Investigaciones (FBI) y el Cibercomando de Estados Unidos (USCYBERCOM).
“Desde febrero de 2020, Corea del Norte ha apuntado a bancos en varios países para iniciar transferencias de dinero fraudulentas y retiros en cajeros automáticos. El reciente resurgimiento sigue a una pausa en la focalización bancaria desde finales de 2019″, dice el aviso.
Según el aviso, en un solo ataque, los esquemas de retiro de efectivo de los cajeros automáticos de BeagleBoyz les permitieron retirar mucho dinero. Retiran el efectivo de los cajeros automáticos operados por bancos de decenas de países, incluido Estados Unidos.
Antecedentes de BeagleBoyz
BeagleBoyz también apunta a los bancos internacionales víctimas en esquemas de fraude SWIFT utilizando los sistemas de bancos involuntarios. Por ejemplo, el robo de $81 millones del Banco de Bangladesh durante 2016.
Afortunadamente, el Banco de la Reserva Federal de Nueva York pudo detener el resto de un intento de transferencia de mil millones de dólares. Esto después de identificar anomalías en las instrucciones de transferencia recibidas del Banco de Bangladesh.
Los BeagleBoyz de Corea del Norte son responsables de las sofisticadas campañas cibernéticas de retiro de efectivo en cajeros automáticos identificadas públicamente como “FASTCash”. Estas compañas iniciaron en octubre de 2018. Desde 2016, BeagleBoyz ha perpetrado el esquema FASTCash, dirigido a la infraestructura del sistema de pago minorista de los bancos. Es decir, cambian los servidores de aplicaciones procesamiento de mensajes de la Organización Internacional de Normalización [ISO] 8583. Este es el estándar para la mensajería de transacciones financieras).
BeagleBoyz son parte de la Oficina General de Reconocimiento del gobierno de Corea del Norte y han estado activos desde al menos 2014. Desde entonces han estado robando cientos de millones de los bancos para financiar el régimen del país.
La actividad de BeagleBoyz se superpone con otros grupos identificados por firmas de ciberseguridad. Por ejemplo, APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike).
También se sabe que están detrás de los retiros de efectivo en cajeros automáticos de FASTCash informados durante octubre de 2018. Han abusado de los puntos finales del sistema SWIFT operados por bancos comprometidos desde 2015, así como los robos de empresas de criptomonedas.
Cambios de técnicas
Desde la alerta inicial de CISA sobre las campañas FASTCash de Corea del Norte el grupo ha tomado otros rumbos. BeagleBoyz se ha movido para apuntar a los procesadores de pagos interbancarios regionales con malware FASTCash además de los bancos individuales. Esto muestra un objetivo claro de explorar otras “oportunidades upstream en el ecosistema de pagos”.
“BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera. Posteriormente aprenden la topología para descubrir sistemas claves y monetizar su acceso. El análisis técnico a continuación representa una amalgama de múltiples incidentes conocidos, en lugar de detalles de un solo operación “, dijeron las agencias.
Observaron a los norcoreanos mientras utilizaban una amplia gama de técnicas para obtener acceso a los sistemas de sus víctimas. Entre las técnicas incluyen el spear-phishing y los watering holes. Asimismo, ingeniería social en ataques de phishing temáticos de solicitudes de empleo a partir de 2018 hasta principios de 2020.
También pueden haber contratado los servicios de grupos de hacking criminal, como TA505, para el acceso inicial a instituciones financieras específicas. Luego lanzaban el ataque final contra los sistemas de los bancos víctimas meses después en algunos casos.
“Además de robar a las instituciones financieras tradicionales, BeagleBoyz apunta a los sitios intercambios de criptomonedas para robar grandes cantidades de criptomonedas. Los robos están valorados en cientos de millones de dólares por incidente”, afirma el aviso.
“La criptomoneda ofrece a BeagleBoyz un método irreversible de robo que puede convertirse en moneda fiduciaria. Esto porque la naturaleza permanente de las transferencias de criptomonedas no permite mecanismos de recuperación”.
Otros informes
Además de la alerta técnica conjunta, el Cibercomando de Estados Unidos también publicó tres informes de análisis de malware (MAR, por sus siglas en inglés). Los informes tratan sobre el esquema de retiro de efectivo de cajeros automáticos del gobierno de Corea del Norte con información sobre ECCENTRICBANDWAGON, VIVACIOUSGIFT y el malware FASTCASH para Windows.
El Departamento del Tesoro de Estados Unidos sancionó a tres grupos de hackers patrocinados por la RPDC (Lazarus, Bluenoroff y Andariel) en septiembre de 2019.
Más información sobre la actividad de HIDDEN COBRA en forma de alertas previas también está disponible para que la puedas consultar. Puedes acceder a ellas través la National Cyber Awareness System de Estados Unidos.