Lazarus Group (también conocido por otros apodos como Guardians of Peace o Whois Team) es un grupo de ciberdelincuentes compuesto por un número desconocido de individuos. Aunque no se sabe mucho sobre el grupo, los investigadores les han atribuido muchos ciberataques durante la última década. Originalmente un grupo criminal, el grupo ha sido designado ahora como una amenaza persistente avanzada debido a su naturaleza intencional, la amenaza y la amplia gama de métodos utilizados al llevar a cabo una operación. Los nombres dados por las empresas de seguridad cibernética incluyen HIDDEN COBRA (por la Comunidad de Inteligencia de los Estados Unidos) y Zinc (por Microsoft).
El primer ataque conocido del que es responsable el grupo se conoce como “Operation Troy”, que tuvo lugar entre 2009 y 2012. Se trató de una campaña de ciberespionaje que utilizó técnicas poco sofisticadas de ataque de denegación de servicio distribuido (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También son responsables de los ataques en 2011 y 2013. Es posible que también estuvieran detrás de un ataque en 2007 dirigido a Corea del Sur, pero eso es aún incierto.5 Un ataque notable por el que el grupo es conocido es el de 2014 contra Sony Pictures. El ataque a Sony utilizó técnicas más sofisticadas y puso de manifiesto lo avanzado que ha llegado a ser el grupo con el tiempo.
Se informó de que Lazarus Group había robado 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. También se han dirigido a bancos de Polonia y México. El atraco a un banco en 2016 incluyó un ataque al Banco de Bangladés, en el que se robaron 81 millones de dólares y que se atribuyó al grupo. En 2017, se informó de que el grupo Lázaro había robado 60 millones de dólares del Banco Internacional del Lejano Oriente de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos se recuperaron.
No está claro quién está realmente detrás del grupo, pero los informes de los medios de comunicación han sugerido que el grupo tiene vínculos con Corea del Norte. Kaspersky Lab informó en 2017 que Lázaro tendía a concentrarse en el espionaje y los ciberataques de infiltración, mientras que un subgrupo dentro de su organización, que Kaspersky llamó Bluenoroff, se especializaba en ciberataques financieros. Kaspersky encontró múltiples ataques en todo el mundo y un enlace directo (dirección IP) entre Bluenoroff y Corea del Norte.
Sin embargo, Kaspersky también reconoció que la repetición del código podría ser una “bandera falsa” con el fin de engañar a los investigadores y culpar al ataque a Corea del Norte, dado que el ciberataque con el gusano WannaCry en todo el mundo también copió las técnicas de la NSA. Este rescate aprovecha un exploit de la NSA conocido como EternalBlue que un grupo de hackers conocido como Shadow Brokers hizo público en abril de 2017. Symantec informó en 2017 que era “muy probable” que Lázaro estuviera detrás del ataque WannaCry.
El siguiente incidente tuvo lugar el 4 de julio de 2009 y provocó el inicio de la “Operación Troya”. Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, pero bastante poco sofisticado, contra sitios web de EE.UU. y Corea del Sur. La oleada de ataques golpeó alrededor de tres docenas de sitios web y colocó el texto “Memoria del Día de la Independencia” en el registro maestro de arranque (MBR).
Con el tiempo, los ataques de este grupo se han vuelto más sofisticados; sus técnicas y herramientas se han desarrollado mejor y son más eficaces. El ataque de marzo de 2011 conocido como “Diez Días de Lluvia” se dirigió a los medios de comunicación surcoreanos, a las finanzas y a la infraestructura crítica, y consistió en ataques DDoS más sofisticados que se originaron en ordenadores comprometidos dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul, un ataque de borrado que se dirigió a tres empresas de radiodifusión surcoreanas, instituciones financieras y un ISP. En ese momento, otros dos grupos que se hacían llamar “NewRomanic Cyber Army Team and WhoIs Team”, se llevaron el crédito por ese ataque pero los investigadores no sabían que el Grupo Lazarus estaba detrás de él en ese momento. Los investigadores hoy en día conocen al Grupo Lazarus como un supergrupo detrás de los ataques disruptivos.
Los ataques del Grupo Lázaro culminaron el 24 de noviembre de 2014. Ese día, apareció un post de Reddit que decía que Sony Pictures había sido hackeada. Nadie lo sabía en ese momento, pero este fue el comienzo de una de las mayores violaciones corporativas de la historia reciente. En el momento del ataque, el grupo se identificó como los Guardianes de la Paz (GOP) y fueron capaces de hackear la red de Sony, dejándola paralizada durante días. El grupo afirma que estuvieron en la red Sony durante un año antes de ser descubiertos. El ataque fue tan intrusivo que los hackers pudieron acceder a valiosa información interna, incluyendo películas no publicadas anteriormente y la información personal de aproximadamente 4.000 empleados pasados y presentes. El grupo también pudo acceder a correos electrónicos internos y revelar algunas prácticas muy especulativas que estaban ocurriendo en Sony.
