Los hackers norcoreanos que roban dinero de todos los bancos del mundo

Cuatro agencias de seguridad, departamentos y oficinas del gobierno de los Estados Unidos detectaron una nueva campaña de ciberataques contra bancos realizada por un grupo de hackers vinculado al régimen de Corea del Norte.

La campaña bautizada como “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks” (Efectivo rápido 2.0: el grupo norcoreano BeagleBoyz robando bancos) tiene como objetivo específico los cajeros automáticos y las terminales SWIFT de los bancos, y según los denunciantes, pretende paliar la falta crónica de recursos y especialmente dólares que afecta a Pyongyang.

Se trata de una investigación realizada por la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Departamento del Tesoro, el Buró Federal de Investigaciones (FBI) y el Ciber Comando de los Estados Unidos (USCYBERCOM), todos dependientes del gobierno estadounidense, informó el portal Infobae.

Hackers norcoreanos ya habían sido señalados por la empresa de ciberseguridad FireEye como responsables del ataque a gran escala contra bancos en todo el mundo en 2018. Además, en 2019 la Organización de las Naciones Unidas (ONU) también denunció al régimen de Kim Jong-un de orquestar el robo de cerca de 2.000 millones de dólares de instituciones financieras.

Los BeagleBoyz (“Muchachos del Beagle”) han estado involucrados al menos desde de 2015 en el uso fraudulento del sistema SWIFT de transferencias bancarias internacionales, así como también de ataques contra cajeros automáticos desde 2018. “El aparato de inteligencia de Corea del Norte controla un equipo de hackers dedicados al robo de banco a mediante el acceso remoto a través de internet”, indica el informe oficial publicado este miércoles por CISA.

Al principio no estaba claro que este grupo al que se le atribuyen los ataques recientes sea el mismo que habría estado detrás de las operaciones de hace dos años, ya que los métodos y tácticas son diferentes. Pero se cree que, cuanto menos, estos colectivos están vinculados y relacionados, unidos en el objetivo de proveer recursos al régimen norcoreano, urgido económicamente a raíz de las sanciones internacionales de parte del Consejo de Seguridad de las Naciones Unidas.

Precisamente, este tipo de fondos robados por medio de ciberataques pueden ser luego utilizados para financiar actividades ilegales expresamente prohibidas por la ONU, como el desarrollo de armas nucleares y misiles balísticos de corto, medio y largo alcance, de las que Corea del Norte es tan adepta y que requieren enormes cantidades de dinero.

“Los robos a bancos de parte de BeagleBoyz representan un riesgo operacional severo para las empresas individuales más allá del daño a la reputación y las pérdidas financieras generadas por el robo y los costos de recuperación”, detalla el informe de CISA.

Según estimaciones del gobierno de Estados Unidos, los BeagleBoyz han lanzado ataques contra activos por un valor de dos billones de dólares. No estaba del todo claro con cuánto del botín efectivamente se hicieron, pero se cree que el número ronda los cientos de millones.

Además de las pérdidas financieras, estos ciberataques han generado, como efecto secundario, duros golpes a los sistemas informáticos de las instituciones atacadas, en algunos casos dejándolos fuera de servicio. Por ejemplo, en 2018 un banco en África debió suspender las operaciones de sus cajeros automáticos por dos meses luego de una ataque del tipo FastCash, de acuerdo al reporte.

Este tipo de ataque comienza con una campaña de “phishing”, es decir de ingeniería social usualmente basada en el envío mensajes apócrifos enviados a los empleados de los bancos, intentando engañarlos para que hagan click en un enlace malicioso y por tanto faciliten la infección de la red interna. Luego, se programa a uno o varios cajeros automáticos para que entreguen dinero a los atacantes.

Ese mismo año los BeagleBoyz provocaron el colapso de miles de computadores y servidores pertenecientes al Banco de Chile, con el sólo propósito de generar una distracción mientras se hackeaba a la terminal SWIFT de la institución.

Uno de los mayores ataques perpetrados por el grupo terminó afectando las operaciones de instituciones financieras en 30 países al mismo tiempo.

Qué se sabe de los BeagleBoyz

El gobierno de los Estados Unidos considera que el grupo pertenece a la Oficina General de Reconocimiento de la República Popular Democrática de Corea, y que comenzó a operar en 2014. No se trata de un típico grupo de ciberdelincuentes, que en muchas ocasiones aceptan encargos de diferentes países. Por el contrario, sus operaciones están bien planeadas y coordinadas, son disciplinados y metódicos, y por esta razón su accionar se asemeja más al de una agencia de inteligencia estatal concentrada en realizar espionaje.

“El grupo utiliza siempre una aproximación calculada, lo que les permite mejorar sus tácticas, técnicas y procedimientos y evitar así la detección”, señala el reporte de CISA.

Los BeagleBoyz se concentran en dos tipos de ataques. El primero, de FastCash, se concentra en las redes de pagos de las instituciones financieras. La infección se realiza mediante el ya mencionado “phishing”, tras lo cual se accede al servidor de pagos del banco y de esta manera a los cajeros automáticos. Entonces sólo resta designar el aparato y el momento para que el atacante recoja el dinero.

El segundo tipo de ataque se concentra en las transacciones internacionales. La forma de infectar es exactamente la misma, pero luego los atacantes proceden a la terminal SWIFT del banco y organizan una transferencia internacional (el llamado “wire”) desde una cuenta a otro banco beneficiario. En el último paso el atacante recibe una segunda transferencia a una cuenta particular, desde la cual extrae el dinero.}