Índice de temas
Qué es Lazarus Group
El Lazarus Group designa a un grupo de ciberdelincuentes o actores de amenazas cibernéticas que se cree que están respaldados por el gobierno de Corea del Norte. También se les conoce como APT38 (Advanced Persistent Threat 38) y otras designaciones en la comunidad de seguridad cibernética.
Lazarus Group inventa LightlessCan, un malware que pasa desapercibido
El mundo de la ciberseguridad está en constante evolución y los hackers norcoreanos de Lazarus Group han dado un paso más al adoptar una estrategia que incorpora un nuevo tipo de malware que los expertos consideran “muy sofisticado”. Este malware, conocido bajo el nombre de LightlessCan, se ha vuelto el centro de atención de los profesionales del sector debido a su capacidad de pasar desapercibido, lo que plantea interesantes desafíos para la detección y seguridad en línea.
Qué significa malware indetectable
Uno de los aspectos más intrigantes de esta amenaza es cómo esta puede resultar indetectable. Pero, antes de proseguir, es interesante preguntarnos: ¿qué significa exactamente que un malware sea “indetectable“?
En términos generales, la detección de un malware viene asociada a la observabilidad o medición del resultado de sus acciones. Los ingenieros de seguridad y las herramientas de detección de ataques suelen analizar el comportamiento de ciertos procesos y la supervisión de llamadas a comandos habitualmente conocidos. Unos y otros están atentos a lo que se espera en cada caso. Sin embargo, difícilmente pueden anticipar la presencia de un malware cuando este ejecuta comandos del sistema sin hacerlo con llamadas explícitas. Y esta es precisamente la astucia que ha empleado Lazarus para evitar ser detectado.
Imaginemos que es un ingeniero de seguridad y está monitorizando la ejecución de comandos A, B y C para detectar posibles amenazas. Cada vez que el sistema te notifica que se ha ejecutado “A”, tu nivel de alerta aumenta. Si luego se ejecuta “B”, te pones nervioso, y si finalmente se ejecuta “C”, lanza la alarma. Pero Lazarus no sigue esta ruta predecible. En lugar de ejecutar el comando “A” directamente, ejecuta algo similar a “A” pero con un nombre y pasos (procesos y subprocesos) diferentes, como “A1, A2, A3”. En conjunto, estos pasos logran el mismo resultado que “A”, pero nadie se da cuenta porque está enfocado en buscar la ejecución de “A” y no en las variaciones sutiles.
El resultado es que el malware de Lazarus se vuelve indetectable, ya que nadie está prestando atención a estas variantes. Dicho de otra forma, los expertos y las herramientas de ciberseguridad podrían estar mirando en la dirección equivocada, lo que haría que el malware pasara desapercibido.
La verdad, es que cualquier cosa se vuelve indetectable si nadie mira en su dirección.
Cómo funciona LightlessCan
Sin embargo, para que esta estrategia funcione, Lazarus Group necesita de la colaboración de sus víctimas: deben convencer a las personas para instalar un software que se encargará de ejecutar el malware.
Para conseguirlo, Lazarus ha utilizado la artimaña de ofrecer empleos ficticios que invitan a los “candidatos” a resolver un problema de programación como prueba para valorar su idoneidad al puesto. Es condición necesaria que las víctimas pues instalen un software en sus computadoras o equipos personales. Y aquí entran en juego dos reflexiones interesantes.
“Nunca intentes ganar por la fuerza lo que puede ser ganado por el engaño”
Nicolás Maquiavelo
Primero, el hecho de que un ingeniero de un sector crítico (como el que parece que ha sido víctima de este ciberataque en España) caiga en este tipo de engaños resalta cuán lejos estamos globalmente de alcanzar una concienciación adecuada en materia de ciberseguridad. Instalar software en un equipo de trabajo sin autorización sigue siendo demasiado común, y este incidente es una llamada de atención para todos los profesionales, sean del sector que sea.
Segundo, el hecho de que una compañía pueda permitir la descarga de software en los equipos de trabajo de sus empleados sin supervisión y control es arriesgado y muestra la necesidad de actuar con precaución en la gestión de la ciberseguridad anticipando este tipo de situaciones.
Cómo evitar el LightlessCan
En última instancia, y no menos importante, el caso de Lazarus Group y su malware indetectable nos recuerda la importancia de la concienciación en ciberseguridad. Como dice la famosa cita atribuida a Nicolás Maquiavelo, “Nunca intentes ganar por la fuerza lo que puede ser ganado por el engaño”. Y en el caso de este ciberataque, todo comenzaba por el engaño. Por eso, y en este mundo digital, la concienciación es unas de nuestras mejores defensas, incluso contra amenazas que resultan sofisticadas y aparentemente indetectables.