Corea del Norte: la Unidad 121

Corea del Norte ha sido, desde 1953, un país conocido por su hermetismo. Se ha sabido que ni los ciudadanos que pueden acceder a la electricidad tienen acceso a Internet. Podemos suponer bastante acertadamente el porqué de esta prohibición. En el país norteño de la península se dispone de una intranet llamada “Kwangmyong”, que, obviamente, es monitorizada por el gobierno. Hace no mucho, incluso, se supo por una filtración del DNS del dominio .kp que éste sólo disponía de 28 sitios web. Se supone, además, que sólo 3 millones de los 25 que hay de habitantes usan smartphones.

Sin embargo, a pesar del aparente “retraso tecnológico” que se percibe, se conoce que el gobierno invierte una tercera parte de sus presupuestos en el ejército, y de esa cantidad, un 10-20% va a la unidad de informática.

El gobierno hace una buena tarea de “ojeador”, atrayendo a los mejores informáticos de la universidad de Pyeongyang y añadiéndolos entre sus filas. Es un trabajo privilegiado cargado de honor que, además, les asegura una vida de comodidad a cambio.

Se ha afirmado en más de una ocasión que la unidad de hackers del ejército coreano (la “Unidad 121”) es una de las mejores del mundo. Esta unidad, además, se estima que cuenta con alrededor de 6.000 personas entre sus filas. Quizá sea por este motivo por el que cada vez se teme con mayor intensidad su “cybercapacidad”.

Los ataques informáticos comenzaron a principios del 2000, pero en esa época todavía eran ataques bastante sencillos, en los que conseguían borrar la información de discos duros enteros, ataques DDoS, y esparcimiento de malware. Sin embargo, pronto comenzaron a adquirir mayores habilidades y se dieron cuenta de las posibilidades que tenía la informática para atacar a su enemigo al sur del paralelo 38 y sus aliados.

Malware DarkSeoul

Fue en marzo de 2013 cuando realizaron el primer ataque a gran escala hasta ese momento conocido. Haciendo uso de un malware llamado “DarkSeoul”, consiguieron congelar o apagar alrededor de 32.000 equipos de Corea del Sur, entre los que se encontraban servidores de 4 grandes bancos (banco Nonghyup, banco Shinhan, banco de Jeju, banco Woori) y 3 agencias de televisión (YTN, KBS, MBC) surcoreanas, causando durante cierto tiempo que la gente no pudiera sacar dinero de los cajeros, y que no se viera nada en las pantallas de esas tres estaciones de televisión.

También se dieron cuenta de que los discos duros de gran cantidad de equipos habían sido completamente borrados. Si este ataque hubiese tenido como objetivo a más bancos, podrían haber borrado toda la información financiera del país, causando un desastre más que absoluto.

Al cabo de 2 horas, el servicio ya estaba restablecido, pero gran cantidad de datos no pudieron ser recuperados.

Ataque a Sony Pictures

Por otro lado, todos recordaremos el ciberataque que sufrió Sony Pictures en 2014, en el que alrededor de 3TB de información fueron robados, y cuyo autor era, presumiblemente, Corea del Norte. Fue en ese ataque cuando se empezó a ser consciente de las grandes capacidades cibernéticas de las que dispone Corea del Norte.

En este caso en particular, se asume que, para robar esa cantidad de datos, debieron estar infiltrados en la red durante bastante tiempo sin ser detectados.

La consecuencia del ataque fue la exposición de todos los datos de Sony y sus empleados, y dentro de las oficinas nada funcionaba. La red estaba completamente caída, por lo que nadie podía acceder a su correo, al listín telefónico interno, la red de VoIP, la cafetería sólo funcionaba con dinero en metálico, los contratos de los empleados habían sido borrados, las bases de datos estaban ilocalizables. Sin contar, además, con el daño que causó a la productora la filtración de gran parte del material robado.

Los propios empleados y ex-empleados no sabían muy bien qué había pasado, quién había realizado esos ataques, si Corea del Norte o algún ex-empleado descontento.

A pesar de que el gobierno de Kim Jong-Un nunca ha reconocido haber sido los autores, se han podido conocer detalles que hacen que sea todo muy sospechoso: se dijo que cometieron el error por un corto periodo de tiempo de realizar ataques desde direcciones IP que sólo los norcoreanos utilizaban, corrigiéndolo en cuanto se dieron cuenta del error. Por otro lado, la inteligencia americana (NSA) sabía que el autor de este ataque había sido Corea del Norte, porque admitieron haber hackeado y monitorizado a Corea del Norte desde 2010. En esa época estuvieron intentándolo con poco éxito, hasta que se infiltraron en los sistemas de Corea del Sur y vieron que ellos estaban haciendo mayores progresos con sus rivales al norte. A partir de esto, hicieron uso de todo el trabajo de los surcoreanos, y siguieron por sí solos.

Sin embargo, no parecía que sus sistemas funcionaran a toda máquina, puesto que reconocieron que sólo detectaron el ataque a Sony cuando ya era demasiado tarde.

Ataque a KHNP

Casi a la vez, hubo un gran revuelo en Corea del Sur ya que, el 23 de diciembre, la Corporación de Energía Nuclear e Hidráulica de Corea del Sur (KHNP) anunció que sus sistemas habían sido hackeados. Se dieron cuenta de que los hackers habían accedido a sus sistemas y habían robado planos del reactor nuclear e información personal de 10.000 empleados, y más información sin especificar.

Los hackers amenazaron con publicar toda la información obtenida si no recibían diez mil millones de dólares para antes de Navidad. Además, enviaron correos electrónicos con el malware “Kimsuky” (conocido por ser malware usado frecuentemente por Corea del Norte frecuentemente), a empleados de la KHNP desde direcciones IP ubicadas en Rusia y China.

En lugar de atacar directamente los robustos firewalls de la KHNP, optaron por enviar cerca de seis mil correos electrónicos a empleados y ex-empleados, tanto de la compañía como de terceras partes en compañías relacionadas.

El pánico cundió entre la población, puesto que se temía que el ataque a una central nuclear pudiera parar algún reactor y causar alguna catástrofe. Sin embargo, un oficial de la KHNP aseguró que “es 100% imposible que un hacker pueda parar una planta de energía nuclear atacándolas porque el control del sistema de monitorización es completamente independiente y aislado”.

Corea del Sur pidió ayuda a China para averiguar la procedencia de estos ataques, ya que algunas direcciones IP eran de una ciudad al noreste chino, junto a la frontera con Corea del Norte.

Por supuesto, Corea del Norte lo negó todo.

Ataque al Bangladesh Bank

Dos años más tarde, en 2016, un grupo llamado “Lazarus” se adentró en el sistema del Bangladesh Bank. Fue en ese momento cuando se empezaron a atar cabos y se supo que el año antes de ese ataque había atacado a bancos de 18 países diferentes.

El primer ataque conocido fue al Banco del Austro de Ecuador en Enero de 2015, donde robaron 12 millones de dólares y lo transfirieron a una cuenta en el banco Wells Fargo de Estados Unidos. Meses después, en octubre, se produjo una intrusión en un banco filipino, aunque no se sabe muy bien si llegaron a robar dinero. En diciembre, unos hackers intentaron transferir 1 millón de dólares del banco TPBank de Vietnam, pero la operación no tuvo éxito.

Finalmente, en febrero de 2016, irrumpieron en el banco central de Bangladesh y robaron 101 millones de dólares de su cuenta en la Reserva Federal de Nueva York, que fue transferido a cuentas en Filipinas y Sri Lanka.

Se supone, puesto que ni el banco sabe cómo sucedió, que se infiltrarían en los sistemas bancarios a través de un correo malicioso a uno de sus empleados. A partir de ahí, infectaron la red con malware y comenzaron a hacer peticiones de transferencia a través del sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication), utilizado para realizar transferencias internacionales entre bancos. Muchas de estas peticiones fueron rechazadas, pero cuatro fueron aceptadas. El malware se encargaba de eliminar los mensajes de error de SWIFT para enmascarar el ataque, y de deshacerse de mensajes de confirmación antes de que llegaran a enviarse a la impresora de la empresa.

A pesar de lo que puede parecer, se puede decir que esta operación no fue del todo exitosa para ellos, puesto que la intención inicial era robar 1000 millones. ¿Por qué no tuvo éxito? Al parecer, muchas de las peticiones de transferencias tenían la palabra “Jupiter”, que aparece en la lista de “sanciones” de los Estados Unidos debido a que dos compañías sancionadas tienen dicha palabra en su nombre. Como la Reserva Federal se ocupa de evitar que se hagan pagos a las compañías sancionadas, estos pagos fueron rechazados.

Esto hizo patente la falta de vigilancia a tiempo real que tiene la Reserva Federal de Nueva York con los pagos, pues todos estos pagos se revisan una vez se han realizado. También se expuso el hecho de que el Banco Central de Bangladesh carecía de firewall y usaba switches de diez dólares y de segunda mano, con los cuales conectaban equipos relacionados con el sistema SWIFT.

¿Qué tiene que ver Corea del Norte con estos ataques a bancos? Según la investigación que se realizó, el código del malware era muy similar al del ataque de 2013 a los bancos surcoreanos, y contenía una parte del código del malware con el que infectaron Sony. Además, esta vez se volvió a utilizar por error una IP norcoreana por poco tiempo.

Symantec asegura que el grupo Lazarus está relacionado con Corea del Norte. Muchos dudan de estas afirmaciones, puesto que en internet se suele compartir código, además del hecho de que muchos dudan siempre de las afirmaciones del FBI.

De cualquier manera, el vicecanciller surcoreano Ahn Chong-ghee afirma que Corea del Norte se estaría financiando con este tipo de ciberataques.

Ataques a Corea del Sur

En ese mismo año, Corea del Sur acusó a su vecino de ser el autor de varios ataques a sus redes gubernamentales. El primero fue en marzo, cuando se reportó que se habían hackeado los smartphones de docenas de altos mandos del gobierno, accediendo a mensajes de texto y llamadas.

El segundo, cometido en diciembre, contra el “cyber comando” militar de Corea del Sur. En este, el servidor central fue infectado con malware, y se averiguó que documentos confidenciales y algunos planes militares (incluida información sobre el plan operativo conjunto entre Seúl y Washington) habían sido filtrados, lo que ha provocado que Corea del Sur y EE.UU. hayan tenido que reescribirlos. Esta ha sido la primera vez que el cyber comando surcoreano se ha visto comprometido desde que se fundó en 2010.

Alarmados por este ataque, el ministerio de defensa de Corea del Sur anunció el pasado 14 de abril que destinará 250 millones de wones (204 millones de euros) en los próximos 5 años para reforzar la seguridad cibernética del país, desarrollando la red, hardware, software y su cifrado, y entrenar a los oficiales a su cargo.

La intención de la gran mayoría de países es lograr que Corea del Norte cese con estos ataques, pero es difícil ponerle puertas al campo…  No hay que descartar que, con las nuevas tensiones con EE.UU., estos ciberataques se intensifiquen y se produzca algún otro altercado de grandes magnitudes.

Comments

  1. Buen artículo Anni :)

  2. Alexander Supertramp says

    Buen artículo pero el ataque a la red SWIFT no fue realizado por la 121 sino por la NSA. La filtración de documentos por parte de Shadow Broker contiene las evidencias.

    https://github.com/misterch0c/shadowbroker/tree/master/swift

  3. Internet se ha convertido en el quinto espacio de guerra: Tierra, Mar, Aire, Espacio, Ciberespacio.

  4. @Alexander Supertramp, en ese caso el fallo es nuestro (los editores), no de la autora, dado que el post llevaba ya un tiempo escrito. Gracias por el aporte, en cualquier caso.