Lazarus, levante e caminhe…

Quero começar esse post fazendo alusão a frase célebre dita por Jesus a Lázaro quando o ressuscita, mas nesse caso o protagonista não é o personagem bíblico, mas sim um grupo de cibercriminosos norte-coreano, e “levante e caminhe” cabe perfeitamente com o fenômeno que ocorre nos países da América Latina em que diversas campanhas e ataques são atribuídos ao grupo desde 2007.

Em seu primeiro ataque conhecido, chamada de “Operação Chama” (Operation Flame, em inglês) utilizou um malware de primeira geração contra o governo da Coréia do Sul. Segundo alguns investigadores, a atividade dessa ameaça pode ser vinculada a ataques como “Operação Missão”, “Operação Tróia” e os ataques “DarkSeoul” em 2013.

O segundo ataque do grupo aconteceu em 4 de julho de 2009 e marcou o início da “Operação Tróia”, em que se utilizou o malware Mydoom e Dozer para lançar um ataque DDoS em grande escala, pouco sofisticado, contra os sites da União Europeia e Coreia do Sul. A sequência de ataques afetou trinta e seis portais web e reproduziu nas páginas o texto “Memória do Dia da Independência” no registro mestre de inicialização (MBR). Com o passar do tempo, os ataques desse grupo se sofisticaram, suas técnicas e ferramentas evoluíram e são mais efetivas. O ataque de março de 2011, conhecido como “Dez Dias de Chuva” se focou em meios de comunicação, finanças e infraestrutura crítica na Coréia do Sul e usou a negação distribuída de serviço (DDoS) mais sofisticada que se originou em computadores invadidos na própria Coreia do Sul.

As investidas do grupo continuaram em 20 de março de 2013, com o ataque DarkSeoul (mais sobre ele e a vida de um hacker na Coreia do Sul no nosso blog), um malware wiper que teve como objetivo três companhia de transmissão da Coreia do Sul, institutos financeiros e um ISP. Outros grupos como NewRomantic, Cyber Army Team e WhoIs Team se proclamaram autores dos ataques, mas investigadores descobriram que o Grupo Lazarus era o real responsável. Outro ataque notável do foi o realizado em 2014 pela Sony Pictures, que utilizou técnicas mais sofisticadas e deixou claro o quanto o grupo tinha evoluído, ao ponto de se atribuir a criação do ransomware “Wannacry”.

Quem são?
Segundo várias investigações, o Grupo Lazarus (também conhecido como Hidden Cobra ou DarkSeoul) é um grupo de cibercriminosos composto por um número desconhecido de participantes, seu modus operandi principal é o uso de malware avançado contra os alvos. De acordo com o governo dos EUA, Reino Unido e Rússia, é um grupo patrocinado por algum Estado, utiliza o codinome Hidden Cobra, é supostamente controlado pelo Bureau 121, uma divisão do Escritório Geral de Reconhecimento, uma agência de inteligência da Coreia do Norte. O Bureau 121 é responsável realizar campanhas cibernéticas militares contra distintos objetivos.

Sabe-se que o Lazarus se especializou em ataques DDoS e invasões corporativas dirigidas a instituições governamentais, militares e aeroespaciais em todo o mundo. Agora que a pressão econômica global sobre a Coreia do Norte aumentou, o Lazarus mudou seu foco para organizações financeiras internacionais para realizar roubos e espionagem.

O primeiro ataque do Lazarus a empresas financeiras ocorreu em fevereiro de 2016 quando os criminosos tentaram roubar 1 bilhão de dólares do Banco Central de Bangladesh, aproveitando falhas de segurança do banco para se infiltrar nos sistemas internos, obter acesso aos computadores com acesso à rede SWIFT. Um erro de estratégia permitiu que os atacantes roubassem somente 81 milhões de dólares e, em março de 2017, funcionários do FBI e da NSA confirmaram publicamente pela primeira vez que Pyongyang estava, provavelmente, atrás do ataque ao Banco Central de Bangladesh.

Em fevereiro de 2017, vários bancos poloneses foram invadidos e, após a investigação do código fonte do malware, pesquisadores atribuíram a atividade ao grupo Lazarus. Como as ferramentas maliciosas são, normalmente, reutilizadas por diferentes grupos, a análise não permitiu evidenciar a atribuição do ataque ao grupo.

Especialistas da empresa russa Group IB investigaram o grupo e encontraram provas que identificam que a Coreia do Norte esteve por trás dos ataques, através da detecção e análise exaustivo de várias camadas de infraestrutura de comando e controle (CC) utilizadas por Lazarus, identificaram endereços IP da Coreia do Norte desde os quais controlaram os ataques.

A partir desses ataques, muitos outros utilizaram o modus operandi e vetores similares, o que nos permite dizer que o Grupo Lazarus ampliou seu alcance e, tanto o Grupo IB, relacionaram atividades em outros países em que se identificou ataques com os objetivos de roubar dinheiro.

Após os primeiros ataques e assumindo que o sistema financeiro aumentou suas defesas, o grupo começou a focar em outros objetivos e, assim, chegou à América Latina.
O primeiro ataque do Lazarus em nossa região aconteceu no Equador e comprometeu o Banco del Austro em fevereiro de 2016, custando 12 milhões de dólares à instituição. A estratégia desse ataque foi a seguinte:

1. Utilizar malware para burlar o sistema de segurança do banco.
2. Obter acesso à rede de mensagens SWIFT.
3. Enviar mensagens fraudulentos à rede para iniciar transferências de dinheiro desde as contas correntes locais para bancos maiores.

Durante dez dias os hackers utilizaram as credenciais da rede SWIFT pertencentes a um empregado do banco para modificar detalhes de transações de 12 transferências que levaram o dinheiro a contas em Hong Kong, Dubai, Nova York e Los Angeles. 

Há outros ataques cuja autoria não foi confirmada, mas que podem ser ligados ao grupo e que tentou sacar 100 milhões de dólares do sistema financeiro mexicano. “Identificamos que um grupo de hackers de origem norte-coreano tentou afetar o sistema financeiro nacional”, revelou Marco Rosales, titular da Unidade de Investigação e Operação Tecnológica da Procuradoria Geral da República (PGR).

O Grupo Lazarus também roubou, supostamente, 11 milhões de dólares de um banco não identificado na Costa Rica e tentou ataques no Uruguai, Colômbia e Brasil até que foram bem sucedidos em um ataque no Chile, onde atacaram o Banco do Chile em maio de 2018, sacando 10 milhões de dólares, além do Banco Consórcio em novembro de 2018 (2 milhões de dólares) e o Redbanc em dezembro de 2018 (que foi mitigado antes de sua conclusão).

Gabriel Bergel
CSA
gabriel.bergel@global.11paths.com
@gbergel