Lazarus, los cibercriminales que roban y extorsionan para el Amado L¨ªder de Corea del Norte

El mes pasado se perpetr¨® el mayor robo cibern¨¦tico del que se tiene constancia. Alguien sustrajo criptomonedas (ethereum, la segunda m¨¢s usada tras bitcoin) por valor de 625 millones de d¨®lares (alrededor de 600 millones de euros) de una web relacionada con el videojuego Axie Infinity. Estados Unidos no tard¨® en relacionar el ataque con el grupo Lazarus, unos ciberdelincuentes de Corea del Norte muy conocidos entre los expertos en ciberseguridad. La consultora especializada en blockchain Chainalysis estima que estos hackers norcoreanos podr¨ªan haberse adue?ado el a?o pasado de otros 400 millones en activos digitales a trav¨¦s de varios ataques dirigidos a plataformas de criptomonedas.

Muchos pa¨ªses, como China, Ir¨¢n o EE UU, patrocinan extraoficialmente a equipos de hackers para que realicen sabotajes o consigan informaci¨®n de valor. El caso de Pyongyang es distinto: utiliza a su grupo de expertos inform¨¢ticos para hacer dinero. El Amado y Respetado L¨ªder (esa es una de las formas oficiales de referirse a Kim Jong-un) lo ve como una v¨ªa para sobrevivir a las duras sanciones internacionales a las que est¨¢ sometido el r¨¦gimen.

Calificar a Lazarus de simples rateros digitales ser¨ªa menospreciarlos. Su hoja de servicios est¨¢ al alcance de muy pocos. EE UU y Reino Unido, as¨ª como Microsoft, les atribuyen el lanzamiento en 2017 de WannaCry 2.0, el mayor ransomware de la historia, que acaba de cumplir cinco a?os. Esta modalidad de virus inform¨¢tico secuestra los equipos infectados y los libera tras el pago de un rescate. Se calcula que WannaCry afect¨® a unos 300.000 ordenadores de 150 pa¨ªses, incluyendo los del sistema de salud de Reino Unido, que qued¨® paralizado.

Un a?o antes, en 2016, Lazarus intent¨® robar 1.000 millones de d¨®lares al Banco Central de Bangladesh con un sofisticado plan que inclu¨ªa hacerse pasar por empleados de la entidad y lograr permisos para mover el dinero. El ataque se vio frustrado por un error de codificaci¨®n, pero no antes de hacerse con 81 millones. El FBI lo consider¨® entonces el mayor ciberatraco de la historia. Existen sospechas tambi¨¦n de que en 2018 robaron unos 530 millones de d¨®lares en tokens (fichas digitales) del portal japon¨¦s de intercambio de criptomonedas Coincheck.

Hacer dinero para el L¨ªder

Todo el dinero que gana Lazarus tiene un mismo destinatario: el r¨¦gimen de Kim Jong-un. Lazarus es una rareza en el mundo de las amenazas persistentes avanzadas (APT en sus siglas inglesas), t¨¦rmino con el que se conoce a los grupos organizados de hackers con mayores capacidades. Estos equipos, dirigidos y patrocinados extraoficialmente por gobiernos, se encuentran en la c¨²spide de la pir¨¢mide de los hackers. Est¨¢n muy bien estructurados y jerarquizados ¡ªcuentan con departamentos y profesionales con roles muy definidos¡ª y disponen de recursos econ¨®micos, lo que les permite elaborar ataques complejos, coordinados y veloces. Sobre el papel, solo los servicios secretos de las grandes potencias (EE UU, Rusia o Reino Unido) tienen m¨¢s poder que las APT.

Debido a la propia naturaleza de internet, donde es sencillo pasar desapercibido, los ciberataques son muy dif¨ªciles de atribuir. ¡°Las APT son rastreadas b¨¢sicamente con pistas aportadas por los servicios de inteligencia y particularidades del c¨®digo, pero hacer un buen an¨¢lisis forense que determine la autor¨ªa puede llevar meses¡±, explica el hacker y analista de ciberseguridad Deepak Daswani. Por eso, los gobiernos usan las APT para sabotear, espiar o llevar a cabo acciones de inteligencia sin provocar incidentes diplom¨¢ticos.

¡°El de Lazarus es un caso ¨²nico¡±, subraya Adam Meyers, responsable de inteligencia de CrowdStrike y experto en APT. ¡°Otros grupos lanzan ransomware, como Rusia en Ucrania a trav¨¦s de Voodoo Bear, pero como tapadera para otros fines, sin inter¨¦s alguno en ser pagados. Y si hacen dinero es para su propio beneficio, como las mafias. El objetivo de Lazarus es conseguir fondos para sostener un r¨¦gimen asfixiado por las sanciones internacionales¡±, a?ade el analista tejano.

Lazarus es de hecho la palabra clave que se le dio a los hackers que operan desde Corea del Norte. El equipo de Meyers distingue cinco facciones diferenciadas dentro de ese paraguas, con objetivos y especializaciones bien definidas, pero que comparten hasta un repositorio de c¨®digo al que recurren para preparar sus ataques. Dos de ellos, Stardust Cholima y Labyrinth Cholima, est¨¢n exclusivamente dedicados a la monetizaci¨®n. ¡°Creemos que Stardust Cholima pertenece a la Oficina 121, uno de los departamentos de la Oficina General de Reconocimiento¡±, nombre con el que se conoce a una de las agencias de espionaje norcoreanas. ¡°Est¨¢n muy enfocados en sistemas financieros, criptomonedas y nuevas tecnolog¨ªas¡±.

El entramado de Lazarus tambi¨¦n realiza acciones de sabotaje, en la l¨ªnea de las APT de otros pa¨ªses. Los grupos de hackers de Corea del Norte fueron especialmente activos durante los meses de 2020 en los que las grandes farmac¨¦uticas trabajaban fren¨¦ticamente para desarrollar una vacuna contra la covid. Trataron de entrar en los ordenadores de trabajadores de AstraZeneca, que junto con la Universidad de Oxford estaban en pleno desarrollo de uno de los remedios. M¨¢s tarde intentaron robar informaci¨®n de Pfizer, otro de los laboratorios volcados en la vacuna. Curiosamente, Corea del Norte es de los pocos pa¨ªses del mundo en los que la pandemia se mantuvo a raya (hasta hace unas semanas), por lo que sus intenciones podr¨ªan haber sido simplemente torpedear el proceso o vender secretos industriales.

Otro de sus golpes m¨¢s sonados no persegu¨ªa fines econ¨®micos, sino venganza. Se desarroll¨® en 2014 y fue el primer aviso de que los norcoreanos no eran aficionados en el terreno digital. El objetivo fue Sony Entertainment, la productora de La entrevista, una pel¨ªcula que fantasea con el asesinato de Kim Jong-un. Un mes antes de la fecha de estreno prevista, un grupo de hackers infect¨® los ordenadores de trabajadores de Sony. Consiguieron borrar datos sensibles de la compa?¨ªa, publicaron detalles salariales y revelaron emails comprometedores de algunos de sus directivos. Tambi¨¦n amenazaron con atentados en las salas de cine donde se exhibiera la cinta, lo que llev¨® a las grandes distribuidoras a retirarla de la cartelera.

El gran paso adelante de Kim Jong-un

Nadie cre¨ªa que Corea del Norte ser¨ªa capaz de convertirse en una potencia cibern¨¦tica. Tampoco que pudiera desarrollar la bomba at¨®mica. Pero consigui¨® ambas cosas. Lo segundo fue la obsesi¨®n de tres generaciones de dictadores; lo primero, un deseo expreso del actual.

Kim Jong-un dirige con mano de hierro uno de los pa¨ªses m¨¢s aislados del mundo. Desde que en 2009 tomara el testigo de su padre, supo ver el potencial de la esfera digital tanto para espiar y sabotear a sus enemigos (EE UU y Corea del Sur) como para ganar un dinero que no puede conseguir a trav¨¦s del comercio. ¡°El r¨¦gimen norcoreano potencia activamente a los hackers de ¨¦lite para incorporarlos a la Oficina 121¡å, escribe la australiana Anna Fifield en su libro El gran sucesor (Capit¨¢n Swing, 2021), en el que hace una radiograf¨ªa de la herm¨¦tica vida y carrera del nieto de Kim Il-sung. ¡°Los estudiantes que muestran posibles aptitudes en este sentido, algunos de tan solo 11 a?os, son enviados a escuelas especiales y luego a la Universidad de Automatizaci¨®n de Pyongyang¡±, donde ¡°a lo largo de cinco a?os se les ense?a a hackear sistemas y a crear virus inform¨¢ticos¡±.

Resulta llamativo, cuenta Fifield, que ya en 2018 los estudiantes norcoreanos obtuvieran regularmente los primeros puestos en las competiciones, o hackatones, organizadas por la empresa de software india CodeChef. Por lo que ha podido averiguar la periodista, buena conocedora del pa¨ªs debido a sus a?os en Tokio y Pek¨ªn como jefa de las oficinas del Washington Post y en Corea del Sur como corresponsal del Financial Times, los hackers norcoreanos gozan de una posici¨®n de respeto y una vida acomodada en un pa¨ªs en el que hasta los a?os noventa la gente mor¨ªa literalmente de hambre.

Seg¨²n cuenta Fifield a EL PA?S, no tiene datos de que en los ¨²ltimos a?os haya cambiado su estatus. M¨¢s bien al contrario: Kim Jong-un tiene claro que el cibercrimen es un negocio m¨¢s, una respuesta a las sanciones internacionales. ¡°El r¨¦gimen participa en todo tipo de sectores que le puedan aportar divisas, como las pruebas farmac¨¦uticas, el cultivo de opio o el tr¨¢fico de personas¡±, indica Meyers ¡°El ciberespionaje y el cibercrimen son un vector m¨¢s¡±. Si no puede ganar dinero comerciando, lo robar¨¢.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.