Rusia y el Hackeo al Banco de Chile: Profundización & Reflexiones

por | Jun 15, 2018

Cuando jugaba a la ciberguerra en el rol del chico malo, hackeando sistemas, sitios web y esparciendo malware, mientras fui miembro del equipo blackhat Santuario CCA, aprendí muchas cosas, sobre todo aquellas relacionadas a la ciberguerra. Me van a disculpar pero, no es lo mismo trabajar en seguridad informática, que formar parte de un equipo que se dedica literalmente a realizar ataques tipo APT (Advanced Persistent Threat), y disfrutarlo. No obstante, esto lo digo con mucha humildad y convicción, porque nadie nace sabiendo: gracias a esa oportunidad que la vida me dio, aprendí bastante; desde llevar mis skills de seguridad informática al siguiente nivel, a entender que todas las malas acciones tienen un precio…

 

http://www.cooperativa.cl/noticias/pais/policial/advierten-de-falso-mail-de-la-pdi-y-del-gobierno-que-contiene-un-virus/2013-04-16/215903.html

 

 

Lo anterior, es un ápice de lo que conversamos con el equipo de Radio Pauta, acerca del hackeo al Banco de Chile y el robo de casi 10 millones de dólares, pero es necesario profundizar y reflexionar…

 

APT (Advanced Persistent Threat) o Amenaza Persistente Avanzada

 

Los APT constituyen ataques informáticos de gran envergadura y meticulosidad, ya que implica un trabajo cauteloso cuyos principales factores son el tiempo, la ingeniería social y la capacidad intelectual para desarrollo de malware: un ataque de esta clase no se realiza en un día, una semana o un mes; generalmente, requiere de varios meses de trabajo.

Es obligación recolectar toda la información clave que abre caminos a un ataque APT: nombres de quienes trabajan en la institución, su sexo, costumbres, direcciones de email, detalles de los sistemas operativos que utilizan, horarios, someterse mentalmente a sus ambientes de trabajo para entender la psicología del target, etc. El malware, por ejemplo, debe ser testeado varias veces en rigurosos entornos de análisis, hasta lograr que éste no sea detectado por los antivirus que las empresas ocupan. Una vez que ya se maneja todo esto, se idea y construye una campaña de spread phishing, o watering hole (una u otra, o ambas, todo depende) a prueba de cualquier ojo y entendimiento humano.

Los ataques que realizamos en el equipo del Santuario CCA fueron pensados, puestos en aguas calmas, y vueltos a pensar, una y otra vez, hasta que maduraron. El ataque informático, hackeo y posterior robo al Banco de Chile no fue algo fortuito y menos aún al azar, cosa que queda demostrada con la alerta que la empresa Trend Micro realizó 6 meses antes de que la incidecia informática en el Banco de Chile encendiera las alarmas:

 

 

Ataques & Versiones de Malware KillDisk Ampliamente Conocidas

 

El ataque de amaneza persistente avanzada, del cual fue víctima el Banco de Chile, se viene orquestando desde el año 2017 (quizás incluso antes), ya que el tipo de malware usado en el robo, tiene diferentes variantes o versiones, y éstas ya han sido utilizadas previamente en ataques a otras entidades.

En efecto, una de las versiones del malware KillDisk (también conocido mediáticamente como BlackEnergy) que infectó las redes informáticas del Banco de Chile, fue utilizado el año 2016 para infectar instituciones financieras de Ucrania.

Sin embargo, éste malware fue ampliamente conocido el año 2015, después de haber sido utilizado para realizar ataques de tipo APT cuyo target fueron los sistemas SCADA de varios países europeos, y en el apagón energético que sufrieron 8 regiones de Ucrania tras el ataque APT a la empresa energética Ukrenergo (y a otras más) en Diciembre de 2015, tras sufrir un ataque con el mismo malware (una nueva versión del mismo malware) y modus operandi que el usado en el robo de los 10 millones de dólares al Banco de Chile.

https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01

Para mayor información al respecto, recomiendo informarse también acerca de los ataques con WannaCry, ya que aparentemente se trataría del mismo malware que infectó las redes de Telefónica en el 2017:

 

https://securelist.com/from-blackenergy-to-expetr/78937/
https://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-killdisk-attacks/

 

La característica principal de estos ataques: primero infectan la red, obtienen todos los datos necesarios para escalar privilegios de acceso y tomar control del target final; una vez que los atacantes tienen en su poder los usuarios y contraseñas que requieren, descargan e instalan remotamente un complemento del malware (generalmente, en el caso de Windows, un archivo de extensión .dll) y es ahí cuando dan el golpe certero, activando el ransomware KillDisk, mientras distraen y perpretan su objetivo real, con esta modalidad, se utiliza un malware para distribuir otro (por ejemplo, infección con BlackEnergy para distribuir ransomware KillDisk); éste fue el posible escenario de ataque al Banco de Chile.

 

SandWorm (TeleBots) & Lazarus Group: los nombres del Hackeo al Banco de Chile

 

SandWorm , Telebots, y BlackEnergy, son los nombres mediáticos con los cuales fueron bautizados los grupos o el grupo detrás de todos estos ataques informáticos APT; algunas versiones de estos malware fueron bautizados con los mismos nombres, como en el caso de BlackEnergy3, o SandWorm:

https://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-windows-zero-day-vulnerability-cve-2014-4114-aka-sandworm/

https://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/

Empresas de seguridad informática aseguran que la nacionalidad de los atacantes es rusa.

Banco de Chile y Microsoft informaron que los dineros fueron extraídos por un ataque proveniente de Europa del Este y/o Asia, y que parte de los 10 millones de dólares robados se enviaron a Hong Kong.

 

Lazarus Group, ¿Rusos o Norcoreanos?

 

En el ir y venir de la información que se ha ido haciendo pública, se ha aseverado también que Lazarus Group, el temido grupo de hackers norcoreano también conocido como Guardians of Peace (GOP), es el autor del ataque al Banco de Chile.

No obstante, nadie tiene pruebas técnicas fehacientes e irrefutables de que se trate realmente de este grupo, e incluso, de que Lazarus Group realmente tenga su base en Corea del Norte, tal como aseveran algunos medios:

 

«Si bien las empresas Karpersky Lab y Business Insider creen que tienen su base en Corea del Norte, este antecedente aún no es confirmado.»

https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/06/11/experto-sospecha-que-supuesto-grupo-norcoreano-habria-atacado-al-banco-de-chile.shtml

 

Finalmente, es obligación analizar y tener en consideración que muchas investigaciones apuntan a que Lazarus Group es en realidad un grupo de hackers rusos, o que han pretendido parecerlo:

 

https://www.group-ib.com/blog/lazarus

https://www.securityweek.com/russian-words-used-decoy-lazarus-linked-bank-attacks

 

Lazarus Group: NSA & Shadow Brokers

 

Para añadir una cuota más de complejidad a los hechos, es necesario demarcar que Lazarus Group propagó malware gracias a la publicación del exploit EternalBlue, una herramienta de hacking y espionaje informático de la NSA de Estados Unidos, filtrada por el grupo de hackers Shadow Brokers.

Lazarus Group: «Palo Blanco» y/o False Flag

 

Kaspersky, La misma empresa que emprendió las acusaciones contra Corea del Norte y relacionó a Lazarus Group con dicho país, reconoce que la similaridad en el código fuente y funcionamiento de entre diferentes tipos y versiones de malware, puede ser un «palo blanco» o false flag, para referirse a que efectivamente, los ataques de Lazarus Group o el grupo mismo podría tratarse de un cúmulo de acciones encubiertas, por lo que nadie puede asegurar que, efectivamente, Lazarus Group ondea la bandera de Corea del Norte:

 

«¿Es posible que esta sea una bandera falsa? En teoría, todo es posible, teniendo en cuenta que el código del backdoor de 2015 podría haber sido copiado por la muestra de Wannacry de febrero de 2017.»

https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431/

 

Los errores de la prensa chilena relacionando el hackeo al Banco de Chile con el ataque a la empresa Sony

 

Para entender esto, primero debemos saber que el hackeo a la empresa Sony realizado el año 2014, fue reconocido y/o atribuido al grupo Guardians of Peace (GOP), también conocido como Lazarus Group y Hidden Cobra, después de que se acusara mediáticamente a Sony de crear una estrategia de marketing para potenciar la visibilidad de la película The Interview.

Estados Unidos responsabilizó a Corea del Norte por el ataque informático a Sony, mientras que Rusia demostró solidaridad con dicho país, luego de que Corea del Norte argumentara que ellos no han participado en ataques informáticos:

 

Russia offers support to North Korea amid Sony hacking scandal

http://www.nydailynews.com/entertainment/movies/russia-offers-support-north-korea-hacking-scandal-article-1.2056640

Un análisis lingüístico del hackeo a Sony, prueba que los hackers responsables del ataque y sabotaje informático a esta empresa, son «más rusos que coreanos»:

 

  1. http://jeffreycarr.blogspot.com/2014/12/linguistic-analysis-proves-sonys.html
  2. http://languagelog.ldc.upenn.edu/nll/?p=17064
  3. https://www.bankinfosecurity.com/interviews/expert-sony-hackers-sound-russian-i-2548
  4. https://spotniks.com/wp-content/uploads/2014/12/Sony-NLI-Report.pdf

 

Después de que un empresario israelí respondiera vía email a una entrevista realizada por el periódico online IBS Intelligence, diversos medios de comunicación en Chile hicieron eco de las escuetas palabras que, sin usar especificaciones técnicas para fundamentar sus declaraciones, habla sobre una apreciación personal, para terminar haciendo publicidad a su empresa:

 

  1. https://ibsintelligence.com/ibs-journal/banco-de-chile-suffers-massive-cyber-attack/
  2. http://www.emol.com/noticias/Tecnologia/2018/06/24/910979/Quien-es-Lazarus-Group-Los-hackers-que-habrian-atacado-al-Banco-de-Chile.html
  3. http://www.estrategia.cl/texto-diario/mostrar/1119777/hong-kong-investiga-lavado-dinero-ligado-ciberataque-afecto-banco-chile
  4. http://impresa.lasegunda.com/2018/06/11/A/Q63DAOQQ/all

 

0 Day (Zero Day) & Causas de Infección a las Redes del Banco de Chile

 

Es un tanto complejo desde afuera y basado en la ignorancia, emitir o aseverar conclusiones técnicas sin tener información clara y detallada acerca de las posibles causas al hackeo del Banco de Chile. No obstante, la mayoría de los ataques realizados por el grupo SandWorm (TeleBots o BlackEnergy) con el malware KillDisk, se realizaron bajo metodologías de ingeniería social y phishing (hoax), por medio de archivos adjuntos en emails que eran recepcionados y abiertos con la herramienta Outlook de Windows. Esto indica una posible vulnerabilidad informática de tipo Zero Day o 0 Day en el sistema operativo Windows o en la herramienta Outlook; estas fallas informáticas son extremadamente difíciles de advertir, ya que son conocidas y usadas de manera exclusiva e irrestricta, sólo por los atacantes.

Sin embargo, si somos críticos con los servicios que entidades financieras como Banco de Chile proveen, cerca del 90% son entregados al público a través de empresas externas, por lo que una infección, por ejemplo, a un call center o empresa de cobranza, están también dentro del espectro del ataque.

Incluso, si analizamos el contexto en el cual no sólo el Banco de Chile fue víctima de este ataque, no podemos descartar que una de estas empresas externas, sus servicios o productos (software, por ejemplo), sean los mismos proveedores de otras entidades bancarias que vieron sus redes infectadas por el malware KillDisk.

La última, más compleja e interesante alternativa al hackeo del Banco de Chile, es un posible ataque de tipo watering hole. ¿Por qué no?

 

Preguntas necesarias…

 

  1. Si este malware es ampliamente conocido desde el año 2015, ¿cuáles eran las medidas de seguridad que Banco de Chile tenía implementadas? ¿Cuáles con las medidas de seguridad que las entidades bancarias chilenas implementaron?
  2. Si la empresa TrendMicro advirtió y alertó sobre estos ataques 6 meses antes de que Banco de Chile lo sufriera en carne propia, ¿se comunicó Banco de Chile con esta u otras empresas de seguridad para hablar del tema y tomar las medidas necesarias?
  3. ¿Por qué razón entidades gubernamentales (de Estado) tomaron acciones ejecutivas, diplomáticas y técnicas para enfrentar un ataque realizado contra una entidad privada?
  4. ¿Por qué Banco de Chile no ha informado públicamente acerca de cómo fue realizado el ataque y bajo qué metodología, sistemas operativos o herramientas, afín de que otras empresas y los ciudadanos seamos parte de la solución?
  5. Tomando los casos de ataques APT con el mismo malware y perpretado por el mismo grupo que atacó al Banco de Chile y a entidades energéticas de Ucrania, causando apagones de electricidad en dicho país: ¿están las empresas energéticas chilenas listas para enfrentar un ataque de este tipo?
  6. ¿Hay alguna razón política, militar, económica u otra, para que Banco de Chile fuera víctima del ataque de un grupo ruso de hacking APT que está involucrado en ciberespionaje, sabotaje informático y guerra cibernética históricamente contra países como Estados Unidos, España, Ucrania y otros?

 

El hilo, siempre, se corta por lo más delgado

 

A día de hoy (fecha de publicación de este artículo), tengo conocimiento de fallas informáticas en algunos activos digitales de Banco de Chile que cualquier cibercriminal puede hacer uso de ellas, porque están activas, listas, esperando que alguien las malutilice. ¿Sabe Banco de Chile que aún sigue siendo vulnerable a ataques informáticos? Obviamente, no haremos full disclosure; es mejor no hacer leña del árbol caído, pese a que algunas veces sí lo es, ya que gracias al full disclosure, el ciudadano de a pie logra conocer vulnerabilidades informáticas que afectan su día a día, integridad y derechos, y en conocimiento de ello, protegerse.

Desde mi perspectiva, si Banco de Chile mantiene activas fallas informáticas expuestas de tal forma que ahora, en este preciso momento, pueden estar siendo recolectadas por un lammer o cibercriminal, podríamos, quizás, ya tener las respuestas a algunas de las preguntas enunciadas más arriba.

Considero, eso sí, que, como mínimo, así como yo dejé el rol del chico malo y me dedico hoy en día a ayudar, el rol que debe cumplir una entidad bancaria como Banco de Chile, es educar, con humildad y grandeza, después de haber sido víctimas de un ataque que probablemente pasará a la historia, ya que uno de los grupos de hacking APT rusos más complejos y sofistacados del mundo, pasaron por Chile y se llevaron 10 millones de dólares.

 

The Shadow Brokers & El Gato de Schrödinger: la organización de hackers rusos que se adjudicó el ataque al Banco de Chile

 

The Shadow Brokers, los eventuales Hackers responsables del hackeo al Banco de Chile

The Shadow Brokers, los eventuales hackers responsables del ataque informático al Banco de Chile

Contra todo pronóstico y según los lineamientos que describimos desde un comienzo acerca de las probabilidades que el ataque informático al Banco de Chile fue perpetrado por un grupo de hackers rusos, al parecer, no estábamos tan equivocados.

De todas maneras, es necesario analizar la adjudicación con frialdad extrema, ya que en temas de seguridad informática, todo es posible (fake account, false flag, etc.). Por lo tanto, no debemos creer fielmente que se trata del grupo The Shadow Brokers, ya que estamos, de alguna manera, frente a la paradoja del Gato de Schrödinger.

Sin embargo, digámoslo: si el grupo The Shadow Brokers es el responsable del ataque informático al Banco de Chile en el cual se sabe fueron robados más de 10 millones de dólares a través de su sistema SWIFT, gracias a la utilización de MBR-Kill, las aseveraciones acerca de la organización de hackers norcoreanos Lazarus Group o Guardians of Peace del empresario israelí tras la compañía Illusive Networks, son completamente erróneas. Algo de esto tratamos de dilucidar en el ítem de más arriba acerca de cómo los medios de comunicación en Chile, de forma irresponsable hicieron copy-paste de las declaraciones del empresario, omitiendo toda clase de contrareferencia técnica a sus conclusiones (Los errores de la prensa chilena relacionando el hackeo al Banco de Chile con el ataque a la empresa Sony).

Así mismo, el grupo de hackers rusos Sandworm o Telebots, quedarían fuera del contexto.

Banco de Chile aseguró que las cuentas y los datos personales de sus clientes no se vieron perjudicados en el ataque, pero ahora, frente al gato dentro de la caja, la última palabra no es de Banco de Chile, sino que del grupo The Shadow Brokers.

The Shadow Brokers, es la organización de hackers rusos (según medios estadounidenses) que publicó abiertamente el exploit EternalBlue, una herramienta de hacking y espionaje informático de la NSA de Estados Unidos:

 

  1. https://www.wired.co.uk/article/nsa-hacking-tools-stolen-hackers
  2. https://www.theguardian.com/technology/2016/aug/16/shadow-brokers-hack-auction-nsa-malware-equation-group
  3. https://news.ycombinator.com/item?id=12290623
  4. https://github.com/samgranger/EQGRP
  5. https://blog.comae.io/shadow-brokers-nsa-exploits-of-the-week-3f7e17bdc216

 

Días después de que el ataque informático al Banco de Chile fuera conocido públicamente, fue creada una cuenta de usuario en Twitter @brokers_shadow, haciendo alusión al hackeo, y a través de la cual también fue adjudicado:

 

 

Para asegurarme de que la información esté disponible, almacené una copia de la cuenta en Twitter en el siguiente enlace. El usuario de Twitter que en un comienzo fue relacionado a The Shadow Brokers por diversos medios de comunicación, es @shadowbrokerss.

Pero tal como dije antes, no nos dejemos llevar por las impresiones. Lo primero que llama mi atención, es que la cuenta de usuario está pagando por publicidad en Twitter Ads para que sus tweets sean vistos en Chile, lo que es bastante llamativo, porque, ¿cuál es la necesidad o urgencia que tiene el grupo The Shadow Brokers de ser vistos en nuestro país adjudicándose el hackeo al Banco de Chile a través de Twitter, pagando por publicidad?

 

 

En segundo lugar, vemos cómo es utilizada en la descripción de su bio, exactamente una de las mismas frases o consignas registradas en Wikipedia:

 

The Shadow Brokers & El Hackeo al Banco de Chile

The Shadow Brokers & El Hackeo al Banco de Chile

 

The Shadow Brokers & El Hackeo al Banco de Chile

The Shadow Brokers & El Hackeo al Banco de Chile

 

Si somos estrictos, es poco probable que una de las organizaciones de hackers más buscadas del mundo, que en ningún momento ha repetido el uso de consignas, lo esté haciendo ahora. Horas después de haber publicado haber detallado esta información acá, la descripción de la bio en la cuenta de Twitter fue editada.

 

The Shadow Brokers & El Hackeo al Banco de Chile

The Shadow Brokers & El Hackeo al Banco de Chile

 

El usuario en cuestión (@brokers_shadow), sigue sólo a otras cuatro cuentas de Twitter, entre las cuales está @BrokersShadow, usuario de Twitter que no tiene relación alguna con The Shadow Brokers y menos aún con la cuenta del grupo (@shadowbrokerss) que estuvo inmiscuida en la publicación de las herramientas de ciberespionaje de la NSA.

 

The Shadow Brokers & El Hackeo al Banco de Chile

The Shadow Brokers & El Hackeo al Banco de Chile

 

The Shadow Brokers & El Hackeo al Banco de Chile

The Shadow Brokers & El Hackeo al Banco de Chile

 

Así mismo, es notorio también la alusión a que ciertas personas o «agentes», están detenidos por causa de Estados Unidos y el Banco de Chile:

 

 

¿Por qué es notorio? Pues, porque The Shadow Brokers nunca antes había nombrado a posibles miembros (o, repito «agentes») de su grupo o de otras organizaciones, y menos aún utilizando la jerga o consignas de comunidades de hacktivismo como Anonymous: «We do not forgive».

A propósito de estos «agentes» detenidos para los cuales se pide libertad, ¿alguien los conoce?. Con mi pregunta no pongo en tela de juicio la existencia o calidad de detenidos de estas personas, sino en realidad me pregunto si alguien los conoce, porque no hay registro de sus nick abiertamente en Internet:

 

  1. dreex1
  2. B00du13
  3. Mr.H
  4. TESTnull

 

En otro tweet, se asegura que uno de ellos («Mr.H») es chileno:

 

 

Otra cosa extraña en todo, es la necesidad de declarar que «el ataque realizado es la firma del grupo» (frase que es posible leer en varios de los tweets), argumento que el grupo The Shadow Brokers nunca antes había usado para identificar o adjudicar sus ataques.

Hasta el momento, la única prueba sobre la autenticidad de la cuenta, es una captura de pantalla que hace alusión al funcionamiento del malware:

 

  1. https://twitter.com/brokers_shadow/status/1017855679263059975

 

Finalmente, es posible advertir cómo el modo de actuar del grupo The Shadow Brokers cambia con este usuario de Twitter (@brokers_shadow), ya que hablan de que «van a publicar un documento con el ataque» para demostrar la adjudicación del hackeo al Banco de Chile, acción que aún no es realizada, y tampoco es la forma común de accionar por parte del grupo, puesto que es bien sabido que, simplemente, actúan: publican los leaks, y punto (no avisan de sus movimientos con anterioridad):

 

 

¿Es realmente el grupo The Shadow Brokers quien está detrás de la cuenta de usuario @brokers_shadow? Si el grupo fue capaz de publicar casi un año después (Junio de 2017) del leak de la NSA (Agosto de 2016) en la misma cuenta de Twitter, ¿por qué no lo hicieron nuevamente, ahora, en Junio de 2018?

Al parecer, la única forma de autentificar todo es por medio del documento que dicen publicarán. Los únicos que pueden abrir la caja con el gato dentro, son ellos mismos, pero no debemos olvidar que al destapar la caja de Schrödinger, el gato, muere.

 

Publicación de Tarjetas & Datos Personales

 

Es increíble cómo el temor y la ignorancia pueden mover a los medios de comunicación e incluso a figuras públicas a entregar credibilidad a algo que es falso. Sí, las tarjetas y datos personales filtradas en Twitter son reales y pertenecen a las personas relacionadas.

No obstante, esta información no tiene relación alguna con el ataque informático realizado al Banco de Chile:

 

  1. Si se tratara de información bancaria relacionada al hackeo del Banco de Chile, la publicación de tarjetas y datos personales corresponderían exclusivamente a datos del Banco de Chile, y se publicaron datos de tarjetas de diferentes bancos de Chile y el mundo.
  2. No, no es posible que sea información del registro de transacciones realizadas a cuentas del Banco de Chile, porque los sistemas de pago no registran el código verificador o de seguridad de las tarjetas de crédito, por lo tanto, no es información obtenida por ese medio.
  3. En las miles de tarjetas que fueron publicadas, figuran tarjetas de crédito virtuales de la empresa Neteller. Es imposible que una entidad bancaria chilena tenga registro de esta clase de tarjetas, y menos aún del código verificador o de seguridad.
  4. ¿De dónde salió entonces, esta información? La única manera de que diferentes tarjetas de crédito de diversos bancos estén reunidas en un solo archivo, es que hayan sido extraídas desde una base de datos comercial de algún sitio web hackeado o sistema de pago similar que contiene registro de compras y de tarjetas de crédito, tal como lo hacen todos los sitios web en los que es posible comprar o pagar online.

 

Estamos, por lo tanto, frente a la publicación de tarjetas de crédito provenientes del hackeo a un sitio web o sistema con registro de tarjetas de crédito que no tiene relación alguna con el ataque sufrido por Banco de Chile.

Más información sobre la publicación de 14.535 tarjetas de crédito en el siguiente enlace.

 

Share This