La firma de cibeseguridad estadounidense FireEye ha informado que un grupo norcoreano de hackers, el cual ha llamado APT38, estaría detrás del robo de más de 100 millones de dólares a entidades financieras en todo el mundo. Estos cibercriminales serían una de las muchas células de Lazarus, que ha sido vinculado con el gobierno de Corea del Norte.

De acuerdo con el informe que ha publicado este miércoles, APT 34 ha estado activo desde al menos el 2014 en más de 16 organizaciones financieras en 11 países, incluyendo México, Chile, Brasil, Uruguay y Estados Unidos. "El grupo es una operación grande y prolífica con recursos extensos", señala.

Según FireEye, APT38 opera a través de malware que coloca en transacciones falsas en la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT, por sus siglas en inglés), un sistema utilizado para transferencias financieras internacionales entre bancos y otras entidades financieras. Después, transfiere los fondos a bancos de todo el mundo, elimina las pruebas y lava el dinero.

"APT38 se caracteriza por una planificación larga, períodos extensos de acceso a entornos comprometidos de víctimas que preceden cualquier intento de robar dinero, fluidez a través de entornos de sistemas operativos mixtos, el uso de herramientas desarrolladas a medida y un esfuerzo constante para frustrar las investigaciones cubiertas, con una voluntad de destruir por completo la máquinas comprometidas después", explicó FireEye, y añadió:

El grupo es cuidadoso, calculado y ha demostrado un deseo de mantener el acceso al entorno de una víctima durante el tiempo que sea necesario para comprender el diseño de la red, los permisos necesarios y las tecnologías del sistema para lograr sus objetivos.

En promedio, el grupo se mantiene en la red de una víctima durante aproximadamente 155 días, detalló la firma de ciberseguridad. No obstante, el periodo de tiempo que más ha permanecido en un entorno comprometido ha sido de casi dos años.

Otro aspecto importante de sus operaciones es la destrucción de pruebas o redes de sus víctimas, lo que probablemente hace no sólo para cubrir sus propias huellas, sino también cubrir las operaciones de lavado de dinero, agregó FireEye.

Tomando en cuenta sólo los robos reportados públicamente, APT38 ha intentado robar en total más 1.100 millones de dólares a instituciones financieras. De acuerdo con Associated Press, su mayor atraco ha sido al banco central de Bangladés. En el 2016, el grupo robó 81 millones transfiriendo el dinero a cuentas bancarias asociadas con identidades falsas en Filipinas.

América Latina también se encuentra entre sus blancos. En México, el Banco Nacional de Comercio Exterior (Bancomext) habría sido una de sus víctimas en enero pasado, lo que paralizó sus operaciones durante algunos días. Asimismo, estaría detrás del ciberataque al Banco de Chile en mayo de este año y posiblemente del ataque al Banco del Austro en Ecuador hace dos años.

Estos hackers norcoreanos fueron rastreados por FireEye tras la detención de Park Jin Hyok, un programador que ha sido detenido en Estados Unidos por conspiración y vinculación a grandes ciberataques como WannaCry y el hackeo a Sony Pictures en el 2014. Según sus declaraciones, el objetivo de APT34 es robar dinero para financiar el régimen del líder norcoreano, Kim Jong-un.