La Ciberguerra llega a Latinoamérica: Chile, blanco atractivo para Corea del Norte

La operadora de la red interbancaria que conecta a las entidades financieras con los cajeros automáticos chilenos, Redbanc, fue recientemente víctima de un ataque altamente dirigido y sofisticado que venía desde un ejército provisto con armas cibernéticas. Su manera de responder senta un ejemplo de cooperación y marca un hito en la ciberseguridad para el […]

La operadora de la red interbancaria que conecta a las entidades financieras con los cajeros automáticos chilenos, Redbanc, fue recientemente víctima de un ataque altamente dirigido y sofisticado que venía desde un ejército provisto con armas cibernéticas. Su manera de responder senta un ejemplo de cooperación y marca un hito en la ciberseguridad para el país. La ciberguerra llegó a Chile. La Ingeniería Social fue, nuevamente, la puerta de entrada.

Medios digitales del mundo han informado respecto de la incursión norcoreana experimentada recientemente por Redbanc. La información se ha difundido a nivel internacional, llegando a revistas digitales especializadas ampliamente conocidas en el mundo del hacking y la infosec (seguridad de la información, pero en corto). La noticia es digna de ello, pues nunca antes se había visto en Chile un hackeo tan sofisticado. Este hecho, junto a los ataques sufridos por la banca durante 2018 marcan el comienzo de una nueva era para la ciberseguridad en Chile, una en la cual Chile se integra a los países que son blancos de ciberguerra.

La forma en que Redbanc enfrentó el episodio marca un verdadero hito dentro de este inicio en el combate a la ciberguerra, pues lejos de caer (estrepitosamente) víctima ante una verdadera arma de guerra cibernética, logra identificar, contener y aislar esta bomba lógica, salvar sus activos, inmunizar a toda la industria bancaria frente a este ataque (y a otros que vendrán), compartiendo y enseñando la experiencia como medida urgente, y de paso, alertarlos a este cambio de escenario por el cual Chile está atravesando.

El mundo se encuentra en un momento cada vez más dinámico en cuanto a amenazas. Según el reporte de Malwarebytes Labs, 2019 State of Malware, los ataques de troyanos y backdoors han aumentado hasta convertirse en los más detectados contra los negocios. Entre 2017 y 2018, los ataques con troyanos aumentaron en un 132%, mientras que los que utilizaron backdoors se incrementaron en un 173%. Por su parte, los ataques mediante spywares se utilizaron un 142% más en 2018 que en 2017.

Lo cierto es que, como hemos enseñado, los peligros y amenazas en el ciberespacio son variados, y por ende, hay distinciones entre ellos. Se pueden categorizar de acuerdo a los diferentes tipo de adversarios involucrados, sus diferentes objetivos, capacidades, modos de ataque, financiamiento, complejidad, herramientas, etc. A fines de 2018, Redbanc se enfrentó a una de las milicias nacionales, armadas (con armas cibernéticas), más activas, efectivas, prolíficas y por todo ello, famosas del mundo.

La ciberguerra de Corea del Norte

A los hackers norcoreanos se les identifica y prepara desde pequeños

Corea del Norte es el país más hermético y aislado del mundo. Está (técnicamente) en guerra desde 1950, y la política del país (Songun) es de considerar a la milicia por sobre todas las cosas y eleva al ejército norcoreano a una posición de privilegio en el gobierno y la sociedad. El Ejército Popular de Corea es uno de los más poderosos y numerosos del mundo, y desde hace décadas han desarrollado sus capacidades militares asimétricas, en ámbitos nucleares, técnicos y más recientemente, cibernéticos.

El gran bloqueo económico al que está sujeto el régimen norcoreano hace necesario que el país recurra a métodos impensados para conseguir divisas: narcotráfico, falsificación de divisas, tráfico humano, ciberdelincuencia como un esfuerzo militar de estado. De hecho, la ciberguerra es parte de la estrategia nacional del país, y cumple con dos objetivos a un bajísimo costo: desplegar demostraciones de poder y conseguir financiamiento ilícito para seguir manteniendo el régimen (y su uranio enriquecido).

Las condiciones geopolíticas de Corea del Norte son bastante particulares, y esto se traslada al ciberespacio. El acceso a la Internet es extremadamente limitado. Se cree que sólo pueden acceder a ella los altos miembros de la élite gobernante, militar, sus familiares cercanos y embajadores. Se estima que existen alrededor de 30 websites norcoreanas en la internet. La mayoría de los norcoreanos no sabe de la existencia de la internet. Sin embargo, existe una intranet, la Kwangmyong, ultralimitada y absolutamente censurada.

Se estima que Corea del Norte cuenta con 6.000-7500 cibersoldados altamente entrenados, y algunos reportes especifican 1800 hackers expertos, de elite y el orgullo militar de la nación, y más de 5000 personas para apoyar sus operaciones. Cómo pueden desarrollar sus habilidades sin siquiera acceso a la internet? Cuando son niños son identificados por sus capacidades científicas tecnológicas y matemáticas, asisten a una o dos escuelas especiales, y luego, a algunas universidades específicas universidades: la Universidad Kim Il-Sung, la Universidad Kim Chaek de Tecnología o la Universidad de Automatización. Quienes destacan, pueden salir del país rumbo al Hotel Chilbosa, en Shenyang, China, donde se entrenan. A algunos les permiten vivir en otros países. Se sabe que India, Indonesia, Kenya, Malasia, Mozambique, Nepal y Nueva Zelanda albergan norcoreanos, que podían enmascarar sus actividades tras negocios legítimos. Este privilegio único (muy pocos pueden cruzar la frontera) permite que sus familias, que quedan tras la frontera, sean muy bien cuidadas por el estado…

El hotel de lujo en que entrenan los hackers norcoreanos

Si bien el ejército norcoreano mantiene actividades cibernéticas, las capacidades de ciberguerra de Corea del Norte, organizacionalmente, se distribuyen a partir del Bureau General de Reconocimiento, la agencia de inteligencia norcoreana, y todo indica que es a partir de ella y, específicamente desde el Bureau 121, que surgen grupos como la APT37 o la APT38, que causan estragos en el mundo entero.

Estructura organizacional del Buró General de Reconocimiento

APT38

La APT38, también conocidos como Lazarus, Hidden Cobra, Chollima, Guardians of Peace y otros, es un grupo que conforma una Amenaza Avanzada Persistente (APT). Éste es un tipo de ciberataque que es altamente sofisticado, prolongado y que apunta a un blanco específico. Tienden a estar alineadas con naciones-estado, y en el caso de Lazarus, exhibe comportamientos absolutamente alineados con los objetivos de ciber guerra norcoreanos.

Hidden Cobra es uno de los grupos APT más avanzados y que ha causado más desastres en el ciberespacio. Es un grupo con motivaciones financieras y tienen altas capacidades para crear y distribuir malware y para infiltrarse entre sus víctimas. Su historia de disrupción en el ciberespacio es asombrosa. Se han identificado dos subgrupos dentro de Lazarus: Bluenoroff y Andariel, que han sido individualizados en distintos ataques.

Línea de tiempo de los ataques atribuidos a Lazarus, Bluenoroff y Andariel

Las Tácticas, Técnicas y Procedimientos de Lazarus son sumamente avanzadas y están en permanente evolución. Suelen causar disrupción y confusión y son sumamente versátiles. Cuentan con un arsenal enorme y complejo, que se actualiza a medida que caen sus objetivo. Son maestros del engaño (se han hecho pasar por hacktivistas y han adoptado sus métodos, han insertado palabras rusas romanizadas en su código, etc) y cubren impecablemente sus huellas, tanto en su actuar como en el código de las herramientas que utilizan. Su arsenal utiliza técnicas de ofuscación de código, técnicas antiforenses, reescriben sus algoritmos, etc.

Conocen bien el valor del código de calidad, por lo que suelen iniciar sus ataques introduciendo herramientas de bajo calibre. Si éstas son detectadas, no pierden gran cosa, pero si son efectivas, comienzan a desplegar sus ciberarmas más avanzadas, protegiéndolas cuidadosamente de detecciones. Empacan el código en un cargador de DLLs, en un contenedor ecriptado o, tal vez lo escondan en un valor del registro binario encriptado.
Una vez adentro de los sistemas, tienen completo movimiento lateral, vertical, hacia dentro, hacia fuera y reutilizan sus herramientas, pero siempre manteniendo el código en constante evolución, para saltarse la detección. Algunos de sus malwares son modulares, algunos otorgan alertas o pistas falsas para despistar a los investigadores. Hasta junio de 2018 se habían identificado al menos 26 distintas familias de malware asociados con Hidden Cobra.

Si bien sus TTP están en constante evolución, sí se observa que mantienen, al menos para targets importantes, un ciclo de ataque consistente en:

1. Recopilación de información: se llevaran a cabo investigaciones sobre el personal de una organización y proveedores de terceros dirigidos con probable acceso a los sistemas de transacciones SWIFT para comprender la mecánica de las transacciones SWIFT en las redes de las víctimas
2. Compromiso inicial: se basó en watering holes y se explotan versiones inseguras o  desactualizadas de software instalado para inyectar código en un sistema.
3. Reconocimiento interno: implementan malware para recopilar credenciales, asignan la topología de red de la víctima y se usan herramientas ya presentes en el entorno de la víctima para escanear sistemas.
4. Servidores Pivot a Victim utilizados para las transacciones SWIFT: el malware de reconocimiento instalado y las herramientas de monitoreo de la red interna en los sistemas utilizados para SWIFT para comprender mejor cómo están configurados y cómo se utilizan. Desplegan backdoors activos y pasivos en estos sistemas para acceder a sistemas internos segmentados en una organización víctima y evitar la detección.
5. Transferir fondos: Implementan y ejecutan malware para insertar transacciones SWIFT fraudulentas y alterar el historial de transacciones. Los fondos transferidos a través de transacciones múltiples a cuentas establecidas en otros bancos, generalmente ubicados en países separados para permitir el lavado de dinero.
6. Destruir evidencia: se eliminan los registros de forma segura, así como el malware de borrado de disco implementado y ejecutado, para cubrir pistas e interrumpir el análisis forense.

Desde 2014, APT38 ha realizado operaciones en más de 16 organizaciones en al menos 13 países, a veces simultáneamente, lo que es una muestra del tamaño del grupo y de sus recursos. Los siguientes son algunos detalles sobre la segmentación APT38:

– El número total de organizaciones a las que apunta APT38 puede ser incluso mayor si se considera la tasa de informe de incidentes baja probable de las organizaciones afectadas.
– APT38 se caracteriza por una larga planificación, largos períodos de acceso a entornos de víctimas comprometidos que preceden cualquier intento de robar dinero, fluidez en entornos de sistemas operativos mixtos, el uso de herramientas desarrolladas a la medida y un esfuerzo constante para frustrar las investigaciones cubiertas con la voluntad de destruir por completo máquinas comprometidas después.
– El grupo es cuidadoso, calculado y ha demostrado un deseo de mantener el acceso a un entorno víctima durante el tiempo que sea necesario para comprender el diseño de la red, los permisos necesarios y las tecnologías del sistema para lograr sus objetivos.
– En promedio, hemos observado que el APT38 permanece dentro de una red de víctimas durante aproximadamente 155 días, y se considera que el tiempo más prolongado en un entorno comprometido es de casi dos años.
– Sólo en los robos informados públicamente, APT38 ha intentado robar más de $1.1 mil millones de dólares a instituciones financieras (hasta junio de 2018).

Su presencia en nuestro país data desde antes de lo que imaginábamos…

Gráfico de 2017. Chile ya aparece atacado

Ingeniería Social: Puerta de entrada infalible

La Ingeniería Social es la técnica infalible mediante la cual los adversarios logran acceso a los activos de información de sus víctimas, y es (aplicada al hacking), como la define Kevin Mitnick, el uso de técnicas de influencia, persuasión y manipulación, para engañar al usuario

(Unos de) Los atacantes técnicamente más avanzados del mundo utilizaron la Ingeniería Social para introducir el malware más complejo que haya visto Chile en la red que conecta todos sus cajeros automáticos (ATMs). Y no es sorprendente. Los norcoreanos tienen unidades especializadas para estas actividades. Se toman la Ingeniería Social muchísimo más en serio de lo que lo hacen sus víctimas, pues conocen la efectividad, eficiencia y el sigilo de sus métodos.

En el caso que afectó a Redbanc, se reconoce un esfuerzo superior en Ingeniería Social.  Los atacantes siguieron claramente, al menos, las 4 etapas definidas por el modelo planteado por Mitnick, en The Art of Deception, hace 17 años, y que ha servido como base para la mayoría de modelos que se han desarrollado a partir de él. También son las etapas que se utilizan y describen en el Social Engineering Framework, de Chris Hadnagy.  Además, utilizaron una mezcla de diferentes vectores de ataques de Ingeniería Social a medida que ejecutaban el ciclo del engaño.

La primera etapa de un ataque de Ingeniería Social exitoso es la de Reconocimiento, Investigación o Recolección de Información. Norcorea posee unidades de inteligencia con capacidad militar para esta tarea, con personal dedicado a esta actividad a tiempo completo, con la capacidad para desarrollar herramientas que les asistan. No sería difícil hallar al pez gordo, mapear su entorno, y definir la línea de acción.

Posteriormente, al momento de establecer una relación y desarrollar confianza, segunda etapa del ciclo, se desarrolla la preparación de una especie de Baiting (“bait” significa “señuelo”) virtual: se creó todo un escenario, una compañía convincente (pero falsa) que ofrecía un puesto de trabajo, incluyendo las respectivas señales obvias (página web, presencia en rrss, teléfonos, contactos, etc). Hubo un tipo específico de Phishing, el Spear Phishing, un análogo a la pesca con arpón, en el cual el pez a capturar no era cualquiera, sino uno específico, y si se ejecuta de forma correcta, es altamente efectivo. Se apuntó hacia un trabajador de TI, desarrollador, que trabajaba en Redbanc y que estaría interesado en el supuesto puesto de trabajo ofrecido. Un hecho interesante es que es la víctima quien inicia el contacto con el atacante (sí, vía linkedin), interesado en postular al aviso que la compañía había publicado. Una vez hecho esto, ocurre un Farming de la víctima por meses, lo que da cuenta de un ataque muy sofisticado. El Farming es la mantención de la relación con la víctima, hasta que ésta madura lo suficiente (farming es un término relacionado a la agricultura, en inglés) como para pasar al momento de la tercera etapa: la explotación de la confianza o relación.

En el caso de Redbanc, la explotación de la relación o de la confianza establecidas, consistiría en hacer que el target, el trabajador, descargara un malware disfrazado como una aplicación para postular al supuesto puesto de trabajo. El Pretexting (hacerse pasar por alguien) fue tan bueno, que incluso se llegó a conversaciones vía Skype, según cuenta la historia, y el trabajador no dudó en ningún momento de la legitimidad del puesto de trabajo, la supuesta compañía o el proceso de postulación.

Éste incluía llenar un formulario en una aplicación, ApplicationPDF.exe, que se descargaría en el computador de la víctima, a lo cual el postulante accedió, sin ninguna sospecha. Especialmente considerando que la interfaz de la aplicación para postular coincidía con lo que prometía hacer: generar la postulación en línea en formato PDF para el puesto de trabajo.

La cuarta etapa y final de un ataque de Ingeniería Social consiste en ejecutar el ataque en sí, para poder “cobrar”, sin dejar huellas y sin que la víctima se entere de lo que ocurrió, y esto se inicia automáticamente al haber descargado ApplicationPDF.exe. Además, el malware crea un archivo PDF con la ficha de postulación, de manera de no levantar sospechas en la víctima. Desde el punto de vista de la Ingeniería Social, el ataque a Redbanc fue un éxito, pues quien fue la puerta de entrada para este ataque jamás se enteró de lo que había ocurrido, hasta que comenzó la investigación, a partir de la detección del ataque en un área diferente de la compañía.

Cómo nos defendemos de un enemigo no declarado (y tan poderoso!)?

Los ataques desde APTs son difíciles de detectar, especialmente proviniendo desde una tan avanzada como Lazarus.
Al llegar ya este tipo de ataques al escenario chileno y latinoamericano, se hace primordial cambiar de paradigma en nuestra visión sobre la ciberseguridad, incorporarla como una actividad continua, con una visión sistémica y holística e imprescindible en nuestras actividades de negocios. El no asumir que estamos frente a nueva era en cuanto a la ciberseguridad, el no reconocer que ya estamos siendo blancos de enemigos realmente serios sería un error que nos expondría a gravísimos daños.

Una visión sistémica de la ciberseguridad nos hace pensar de inmediato en tomar consciencia del escenario al cual nos enfrentamos, la llamada Awareness que se postula como una solución, que no es capaz de contrarrestar estos ataques desde una perspectiva de firewall, sino llegar a evitar la necesidad de esas instancias (que, por lo demás, ya están obsoletas) y a permanecer atentos a las amenazas, que se disfrazan de formas inocentes.
Tener awareness de la importancia de la información que albergamos en cada uno de nuestros dispositivos y de cuáles son las posibles puertas de entrada hacia ella nos permite evaluar de mejor forma el riesgo a la que la exponemos con nuestras acciones.
Por otra parte, los profesionales de TI y de seguridad de la información de una organización deben garantizar que cada rincón de su infraestructura de red esté a salvo de diferentes tipos de ataques. Esto incluye garantizar que todas las máquinas conectadas a la red estén siempre actualizadas con los últimos parches de seguridad para minimizar la explotación de vulnerabilidades. Como el robo de información es también un objetivo primordial de los ataques dirigidos, proteger la información de cualquier posible violación también debería ser la máxima prioridad.
Como empresas, debemos capacitar a nuestros empleados y colaboradores, y fomentar el desarrollo de un ambiente de cooperación. Enfrentados a estos actores maliciosos tan poderosos, la única forma de contener estos ataques es compartiendo la información en nuestro ecosistema de negocios, involucrando a todos los partícipes. En tiempos de ciberguerra, las viejas fórmulas de negocios que apelaban a una competencia descarnada sólo nos hundirán en la batalla.