Lo Último

BeagleBoyz: cómo operan los hackers de Kim Jong-un que roban dinero de cuentas y cajeros automáticos en todo el mundo

El grupo ha sido apodado "BeagleBoyz" es responsable por el robo de cientos de millones de dólares para el régimen de Corea del Norte (iStock) (Getty Images/iStockphoto/)

Los hackers norcoreanos están de vuelta. Esta vez, cuatro agencias de seguridad pertenecientes al gobierno de los Estados Unidos identificaron han identificado una nueva campaña de ciberataques contra bancos realizada por un grupo vinculado al régimen de Corea del Norte.

Bautizada como “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks” (Efectivo rápido 2.0: el grupo norcoreano BeagleBoyz robando bancos), la campaña detectada tiene como objetivo específico los cajeros automáticos y las terminales SWIFT de los bancos, y pretende paliar la falta crónica de recursos y especialmente dólares que afecta a Pyongyang.

De la investigación participaron la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Departamento del Tesoro, el Buró Federal de Investigaciones (FBI) y el Ciber Comando de los Estados Unidos (USCYBERCOM), dependientes del gobierno de los Estados Unidos.

Hackers norcoreanos ya habían sido señalados por la empresa de ciberseguridad FireEye como responsables del ataque a gran escala contra bancos en todo el mundo en 2018. Además, en 2019 la ONU también denunció al régimen de Kim Jong-un de orquestar el robo de cerca de 2.000 millones de dólares de instituciones financieras.

“El aparato de inteligencia de Corea del Norte controla un equipo de hackers dedicados al robo de banco a mediante el acceso remoto a través de internet”, indica el informe oficial publicado este miércoles por CISA.

El líder de Corea del Norte, Kim Jong-un KCNA)
El líder de Corea del Norte, Kim Jong-un KCNA) (KCNA/)

Los BeagleBoyz (“Muchachos del Beagle”) han estado involucrados al menos desde de 2015 en el uso fraudulento del sistema SWIFT de transferencias bancarias internacionales, así como también de ataques contra cajeros automáticos desde 2018.

No estaba claro en un principio que este grupo al que se le atribuyen los ataques recientes sea el mismo que habría estado detrás de las operaciones de 2018 (los famosos APT38 y Lazarus), ya que los métodos y tácticas son diferentes. Pero se cree que, cuanto menos, estos colectivos estén vinculados y relacionados, unidos en el objetivo de proveer recursos al régimen de Corea del Norte, acorralado por las sanciones internacionales de parte del Consejo de Seguridad de las Naciones Unidas.

Precisamente, este tipo de fondos obtenidos por medio de ciberataques pueden ser luego utilizados para financiar actividades ilegales expresamente prohibidas por la ONU, como el desarrollo de armas nucleares y misiles balísticos de corto, medio y largo alcance, de las que el régimen es tan adepto y las cuales requieren de enormes cantidades de dinero.

“Riesgo severo”

“Los robos a bancos de parte de BeagleBoyz representan un riesgo operacional severo para las empresas individuales más allá del daño a la reputación y las pérdidas financieras generadas por el robo y los costos de recuperación”, detalla el informe de CISA.

hackers corea del norte
Mapa de ataques realizados en 2018 por el grupo norcoreano APT38, vinculado "BeagleBoyz" (FireEye)

Según estimaciones del gobierno de Estados Unidos, los BeagleBoyz han lanzado ataques contra activos por un valor de dos billones de dólares. No estaba del todo claro con cuánto del botín efectivamente se hicieron, pero se cree que el número ronda los cientos de millones.

Además de las pérdidas financieras, estos ciberataques han generado, como efecto secundario, duros golpes a los sistemas informáticos de las instituciones golpeadas, en algunos casos dejándolos fuera de servicio.

Por ejemplo, en 2018 un banco en África debió suspender las operaciones de sus cajeros automáticos por dos meses luego de una ataque del tipo FastCash, de acuerdo al reporte.

Este tipo de ataque comienza con una campaña de “phishing”, es decir mensajes apócrifos enviados a los empleados de los bancos intentando engañarlos para que hagan click en un enlace malicioso y por tanto faciliten la infección de la red interna. Luego, se programa a uno o varios cajeros automáticos para que entreguen dinero a los atacantes.

Ese mismo año los BeagleBoyz provocaron el colapso de miles de computadores y servidores pertenecientes al Banco de Chile, con el sólo propósito de generar una distracción mientras se hackeaba a la terminal SWIFT de la institución.

Por sus métodos, su disciplina y su planeamiento intensivo, los hackers muestran el modus operandi de una agencia estatal de inteligencia
Por sus métodos, su disciplina y su planeamiento intensivo, los hackers muestran el modus operandi de una agencia estatal de inteligencia (FUNDACIÓN EUSKALTEL KONEZTA/)

En el mayor de los ataques perpetrados por el grupo, se golpearon a instituciones financieras en 30 países al mismo tiempo.

Qué se sabe de los BeagleBoyz

El gobierno de Estados Unidos considera que el grupo pertenece a la Oficina General de Reconocimiento de la República Popular Democrática de Corea y comenzó a operar en 2014.

No se trata de un típico grupo de ciberdelincuentes, que en muchas ocasiones aceptan encargos de diferentes países. Por el contrario, sus operaciones están bien planeadas y coordinadas, son disciplinados y metódicos, y por esta razón su accionar se asemeja más al de un grupo de inteligencia estatal.

“El grupo utiliza siempre una aproximación calculada, lo que les permite mejorar sus tácticas, técnicas y procedimientos y evitar así la detección”, señala el reporte de CISA.

Cajero automatico generica
Los ataques contra las redes de pago de los bancos son los más utilizados por los BeagleBoyz (Kerem Uzel/Bloomberg) (Kerem Uzel/)

Entre 2015 y 2020 se han detectado ataques en Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Corea del Sur, Costa Rica, Ecuador, España, Ghana, India, Indonesia, Japón, Jordania, Kenya, Kuwait, Filipinas, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Singapur, Sudáfrica, Taiwan, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam y Zambia.

Cómo funcionan los ciberataques

Los BeagleBoyz se concentran en dos tipos de ataques.

El primero, de FastCash, se concentra en las redes de pagos de las instituciones financieras. La infección se realiza mediante el ya mencionado “phishing”, tras lo cual se accede al servidor de pagos del banco y de esta manera a los cajeros automáticos. Entonces sólo resta designar el aparato y el momento para que el atacante recoja el dinero.

El segundo se concentra en las transacciones internacionales. La forma de infectar es exactamente la misma, pero luego los atacantes proceden a la terminal SWIFT del banco y organizan una transferencia internacional (el llamado “wire”) a otro banco beneficiario. En el último paso el atacante recibe una segunda transferencia a una cuenta.

MÁS SOBRE ESTE TEMA:

La ONU denunció que hackers de Corea del Norte robaron 2 mil millones de dólares de bancos

Los hackers cuentan la historia de cómo fue el ataque dentro de Twitter

Cómo operan los hackers chinos que quisieron robar la fórmula de la vacuna contra el coronavirus

Vinculan a hackers de Corea del Norte con una ola de ciberataques a bancos en todo el mundo

Cómo opera “Charming Kitten”, los hackers vinculados a Irán que intentaron robar información del laboratorio Gilead

Artículos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close