- declassified - declassificato - декласификовано - Yatangajwe - deklasigita - deklasifikuar - freigegeben - kustutatud - kuparidzirwa - kutengwa - desclasificado - déclassifié - datganoledig - dideklarasikan - deklasificirani - разсекретени - dideklasifikasi - dearbhaithe - otkriveni - deklasificirano - рассекречены -

26/8/20

BeagleBoyz: cómo operan los hackers de Corea del Norte que roban dinero de cuentas y cajeros automáticos en todo el mundo

Hackers del regimen norcoreano hackean varias instituciones bancarias en el mundo desde el 2014

El gobierno de Estados Unidos lanzó un alerta por el regreso de los atacantes que el año pasado habían sido acusados por la ONU de golpear a bancos en distintos continentes y hacerse con USD 2 mil millones para financiar al régimen de Kim Jong-un

El grupo ha sido apodado "BeagleBoyz" es responsable por el robo de cientos de millones de dólares para el régimen de Corea del Norte (iStock)
Los hackers norcoreanos están de vuelta. Esta vez, cuatro agencias de seguridad, departamentos y oficinas pertenecientes al gobierno de los Estados Unidos han identificado una nueva campaña de ciberataques contra bancos realizada por un grupo vinculado al régimen de Corea del Norte.



Bautizada como “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks” (Efectivo rápido 2.0: el grupo norcoreano BeagleBoyz robando bancos), la campaña detectada tiene como objetivo específico los cajeros automáticos y las terminales SWIFT de los bancos, y pretende paliar la falta crónica de recursos y especialmente dólares que afecta a Pyongyang.

De la investigación participaron la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Departamento del Tesoro, el Buró Federal de Investigaciones (FBI) y el Ciber Comando de los Estados Unidos (USCYBERCOM), dependientes del gobierno de los Estados Unidos.

“El aparato de inteligencia de Corea del Norte controla un equipo de hackers dedicados al robo de banco a mediante el acceso remoto a través de internet”, indica el informe oficial publicado este miércoles por CISA.



Los BeagleBoyz (“Muchachos del Beagle”) han estado involucrados al menos desde de 2015 en el uso fraudulento del sistema SWIFT de transferencias bancarias internacionales, así como también de ataques contra cajeros automáticos desde 2018.

No estaba claro en un principio que este grupo al que se le atribuyen los ataques recientes sea el mismo que habría estado detrás de las operaciones de 2018 (el famoso APT38, también conocido como Lazarus), ya que los métodos y tácticas son diferentes. Pero se cree que, cuanto menos, estos colectivos están vinculados y relacionados, unidos en el objetivo de proveer recursos al régimen de Corea del Norte, acorralado por las sanciones internacionales de parte del Consejo de Seguridad de las Naciones Unidas.

Precisamente, este tipo de fondos robados por medio de ciberataques pueden ser luego utilizados para financiar actividades ilegales expresamente prohibidas por la ONU, como el desarrollo de armas nucleares y misiles balísticos de corto, medio y largo alcance, de las que el régimen es tan adepto y las cuales requieren de enormes cantidades de dinero.

Según estimaciones del gobierno de Estados Unidos, los BeagleBoyz han lanzado ataques contra activos por un valor de dos billones de dólares. No estaba del todo claro con cuánto del botín efectivamente se hicieron, pero se cree que el número ronda los cientos de millones.

Además de las pérdidas financieras, estos ciberataques han generado, como efecto secundario, duros golpes a los sistemas informáticos de las instituciones atacadas, en algunos casos dejándolos fuera de servicio.

Por ejemplo, en 2018 un banco en África debió suspender las operaciones de sus cajeros automáticos por dos meses luego de una ataque del tipo FastCash, de acuerdo al reporte.

Este tipo de ataque comienza con una campaña de “phishing”, es decir de ingeniería social usualmente basada en el envío mensajes apócrifos enviados a los empleados de los bancos, intentando engañarlos para que hagan click en un enlace malicioso y por tanto faciliten la infección de la red interna. Luego, se programa a uno o varios cajeros automáticos para que entreguen dinero a los atacantes.

Ese mismo año los BeagleBoyz provocaron el colapso de miles de computadores y servidores pertenecientes al Banco de Chile, con el sólo propósito de generar una distracción mientras se hackeaba a la terminal SWIFT de la institución.

En el mayor de los ataques perpetrados por el grupo, se golpearon a instituciones financieras en 30 países al mismo tiempo.



El gobierno de los Estados Unidos considera que el grupo pertenece a la Oficina General de Reconocimiento de la República Popular Democrática de Corea, y que comenzó a operar en 2014.

No se trata de un típico grupo de ciberdelincuentes, que en muchas ocasiones aceptan encargos de diferentes países. Por el contrario, sus operaciones están bien planeadas y coordinadas, son disciplinados y metódicos, y por esta razón su accionar se asemeja más al de una agencia de inteligencia estatal concentrada en realizar espionaje.

“El grupo utiliza siempre una aproximación calculada, lo que les permite mejorar sus tácticas, técnicas y procedimientos y evitar así la detección”, señala el reporte de CISA.

Entre 2015 y 2020 se han detectado ataques en Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Corea del Sur, Costa Rica, Ecuador, España, Ghana, India, Indonesia, Japón, Jordania, Kenya, Kuwait, Filipinas, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Singapur, Sudáfrica, Taiwan, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam y Zambia.

El primero, de FastCash, se concentra en las redes de pagos de las instituciones financieras. La infección se realiza mediante el ya mencionado “phishing”, tras lo cual se accede al servidor de pagos del banco y de esta manera a los cajeros automáticos. Entonces sólo resta designar el aparato y el momento para que el atacante recoja el dinero.

El segundo tipo de ataque se concentra en las transacciones internacionales. La forma de infectar es exactamente la misma, pero luego los atacantes proceden a la terminal SWIFT del banco y organizan una transferencia internacional (el llamado “wire”) desde una cuenta a otro banco beneficiario. En el último paso el atacante recibe una segunda transferencia a una cuenta particular, desde la cual extrae el dinero.

« Fuente ; infobae.com «

No hay comentarios:

Publicar un comentario