Lazarus Group, uno de los equipos de hackeo más importantes de Corea del norte, ha atacado varias exchanges de critpomonedas el pasado año para, según un informe publicado por Cointelegraph que recoge informaciones de Chainalysis.
El sitio de trading falso creado tenía unos niveles de realismo desconocidos hasta ahora que engañaron a los empleados del Exchange DragonEx, con sede en Singapur. En marzo de 2019 los hackers consiguieron robar unos 7 millones de dólares en diversos tipos de critpomonedas del exchange DragonEx.
Se presupone, con muy escaso margen de error, que Lazarus está patrocinado por el gobierno de Corea del Norte, donde no se aprieta una tecla de un ordenador sin que el Estado tenga conocimiento de ello.
El grupo Lazarus, en este caso, usó un sofisticado ataque de phishing. Creó una página web de aspecto muy limpio, de la cual acompañamos imagen en estas líneas, e incluso difundió información de la empresa falsa en redes sociales que llevaba por nombre WFC Proof. Esta compañía falsa creó Worldbit-bot, un bot automatizado de comercio para criptomonedasque luego se ofreció a los empleados de DragonEx.
Lazarus tiene la costumbre de robar criptomonedas y no empezar a mover el dinero hasta que no han transcurrido 18 meses, en esta ocasión cambió sus normas de actuación
DragonEx respondió rápidamente al ataque , anunciando en varias plataformas de redes sociales que había sido pirateado y publicando una lista de 20 direcciones de wallets a las que se habían transferido sus fondos. Eso permitió que se marcaran esas billeteras y congelaran las cuentas asociadas con ellos, lo que dificultó a los atacantes mover los fondos. DragonEx también se puso en contacto rápidamente con Chainalysis y solicitó la ayuda de esta empresa y denunció ante las autoridades lo ocurrido.
La página que sirvió para robar siete millones de dólares, incluía nombres de empleados que no existían. Su aspecto era perfecto e hizo campaña en redes.
Aunque el software supuestamente se parecía a un bot real para trading, contenía malwareque podía secuestrar el ordenador que había infectado. Finalmente el software se instalaba en una máquina que contenía las claves privadas del monedero online de DragonEx, lo que permitía que los hackers robaran los fondos.
Las tácticas de Lazarus son muy depuradas, no suelen mover el dinero robado hasta que no han pasado 18 meses para no dar pistas de rastreo, aunuque en este caso se dieron prisa y lo hicieron en los 60 días siguientes a la comisión del delito.
No se puede negar que los integrantes de Lazarus, a quien Chainanalisis define como uninfame sindicato cibercriminal vinculado al gobierno de Corea del Norte tiene un finosentido del humor. En su sitio web dan un consejo de ciberseguridad: no des tus claves a nadie.