Menú

Un grupo delictivo roba millones de dólares a bancos de todo el mundo

FireEye ha informado sobre la actividad de un grupo denominado APT38 por la propia compañía que presuntamente es responsable de robar millones de dólares a bancos de todo el mundo en nombre del régimen de Corea del Norte.

La organización, que es particularmente agresiva, utiliza con regularidad malware destructivo para hacer que las redes de sus víctimas dejen de funcionar después de un robo. Sin embargo, hasta el momento no se ha logrado poner fin a su actividad.

Al menos desde 2014, APT38 ha realizado operaciones en más de 16 organizaciones en mínimo 11 países, a veces simultáneamente, lo que para FireEye indica que el grupo constituye “una operación grande y prolífica con recursos extensos”.

La investigación de estas intrusiones ha proporcionado a la compañía una perspectiva única del ciclo de vida completo de estos ataques. Su orientación a las entidades financieras y los robos posteriores han seguido el mismo patrón general, que se detalla a continuación:

  • Recopilación de información: realizan una investigación del personal de una organización y del de sus proveedores que probablemente tengan acceso a los sistemas de transacciones SWIFT, para comprender la mecánica de las transacciones de SWIFT en las redes de las víctimas (los sistemas en cuestión son aquellos utilizados por la víctima para realizar transacciones SWIFT aunque, en ningún momento los investigadores observan que estos actores violaran la integridad del propio sistema SWIFT).
  • Compromiso inicial: se basó en un ataque ‘watering hole’ (se aprovechan las vulnerabilidades de una web de confianza que suele ser visitada por los empleados de la organización objetivo del ataque para distribuir un código malicioso cuando acceden) y explotó una versión insegura y desactualizada de Apache Struts2 para ejecutar código en el sistema.
  • Reconocimiento interno: se desplegó malware para recopilar credenciales, se mapeó la topología de la red de la víctima y se usaron herramientas ya presentes en el entorno de la víctima para escanear los sistemas.
  • Pivotar a servidores de la víctima utilizados para las transacciones SWIFT: se instaló malware de reconocimiento y herramientas de monitorización de la red interna en los sistemas utilizados para las transacciones SWIFT para comprender mejor cómo están configurados y cómo se utilizan. Se desplegaron tanto puertas traseras activas como pasivas en estos sistemas para acceder a sistemas internos segmentados en la organización víctima del ataque y evitar la detección.
  • Transferir fondos: se implementó y ejecutó malware para insertar transacciones SWIFT fraudulentas y alterar el historial de transacciones. Los fondos transferidos a través de múltiples transacciones a cuentas establecidas en otros bancos, generalmente ubicados en países separados para permitir el lavado de dinero.
  • Destruir evidencias: se eliminan los registros de forma segura, además se despliega y ejecuta el malware de borrado de disco para cubrir pistas y entorpecer el análisis forense.

Fuente: redseguridad.com