Amenazas Persistentes Avanzadas. Análisis de grupos APT. Objetivo: Asia

Si hablamos de las atribuciones asiáticas de los APT hay que hacer referencia a China o Corea del Norte. Pero la inteligencia asiática va más allá, ya que también se han atribuido ataques a países como Corea del Sur, Líbano o Pakistán.

Los ataques de estos grupos APT atribuidos a Asia suelen tomar como objetivo industrias de gran importancia, como por ejemplo industrias del sector financiero, defensa, energía, I+D, Salud…    

La finalidad de estos ataques puede ser interés financiero, intereses estratégicos o simplemente intereses en favor de la imagen del país atacante.

Como analizar cada país de forma individual nos llevaría demasiado tiempo, con lo que nos centraremos en el mayor exponente de cada continente y posiblemente en alguna mención especial. En el caso asiático nos encontramos con dos grandes potencias, Corea del Norte y China.

 

Corea del Norte

Este país es algo difícil de abordar por el hecho de ser tan hermético, pero aún así podemos obtener cierta información gracias a personas que han abandonado el régimen, por actos que el propio país ha aceptado o por diversas atribuciones externas.

El pasado 1 de Febrero Microsoft y Google observaron una campaña de espionaje orientada a los investigadores de vulnerabilidades que se atribuyó al grupo APT Zinc (Lazarus) de Corea del Norte con un malware hecho a medida.

Estas creaciones ad hoc son usuales en el modus operandi de este grupo APT, del que tenemos constancia que ha estado activo desde 2009. Este ha aumentado de su actividad desde 2015, considerado responsable del ataque masivo con el ransomware WannaCry en 2017, ataques a centrales nucleares de KHNP y del hackeo a Sony Pictures en 2014. Esta última atribución fue hecha por el FBI aunque posteriormente Corea del Norte ofreció a Estados Unidos ayuda en la investigación del incidente argumentando que ellos no eran los autores de dichas acciones.

En un principio también se le atribuyeron los ataques a SWIFT en 2016. Aunque en principio las atribuciones parecían fundadas ya que en el historial de hackeos financieros de Pyongyang destacan los ataques al Banco de Bangladesh y al Banco Cosmos de India, gracias a las filtraciones del grupo ShadowBrokers se descubrió que el culpable de estos ataques fue el grupo Equation Group asociado a la NSA.

Actualmente parece que han descubierto un nuevo sistema de financiación para su programa nuclear usando criptomonedas robadas, según Corea del Sur.

 

China

Tratar de investigar a todos los grupos de amenazas atribuidos a China de forma individual puede dar lugar a un artículo interminable. Por esa razón, solo expondremos algunos de ellos.

APT1 y APT2, o las unidades 61398 y 61486 del Ejército Popular de Liberación Chino, son grupos APT patrocinados por el estado. Esto no son meras atribuciones si no que en 2013 China admitió públicamente tener grupos secretos de ciberguerra que reunían tanto personal militar como civil, aunque los detalles de sus actividades quedaron en especulaciones. Se cree que estos grupos APT tienen como objetivo industrias americanas, europeas y japonesas que operan en el ámbito aeroespacial.

APT31 (Zirconium) tiene como objetivo el robo de información y espionaje posiblemente contra otros grupos de inteligencia de otros países. Hay una alta probabilidad de que sea así, ya que estaban usando un exploit 0-day del grupo Equation Group de la NSA años antes de que lo filtrara el grupo Shadow Brokers en 2017.                           

Actualmente de los únicos grupos APT de los que se cree que se tiene algo de información de sus integrantes son de APT10 y APT41 en los que todo el grupo o parte están buscados por el FBI.

 

¿Cómo son las relaciones entre Corea del Norte y China?

Geopolíticamente hablando, sin meternos en muchos detalles, parece que tienen una buena relación, dado que son países vecinos y tienen un régimen similar. A China podría convenirle tener a Corea del Norte de su lado, ya que en un supuesto de una posible amistad entre Corea del Norte y Estados Unidos debido a las relaciones que tuvieron Donald Trump y Kim Jong-Un en su momento, tendría las bases militares de éste último a las puertas y por ello tiene ciertas consideraciones con Corea del Norte, como devolver a los desertores norcoreanos que consiguen atravesar la frontera y acabar en China. Aunque también habría que valorar el caso contrario, una unión de fuerzas entre China y Corea del Norte podría resultar en la creación de un frente asiático para hacer fuerza contra Estados Unidos.

Actualmente las relaciones entre EEUU y Corea del Norte se han enfriado debido a la elección de Joe Biden como líder del país norteamericano.

 

¿Se conocen colaboraciones entre grupos APT de estos países?

Aunque podría ser posible una operación conjunta entre China y Corea del Norte, por la propia naturaleza de los grupos APT es difícil que dos países, aunque “aliados”, colaboren juntos en un ataque. Esto es porque dichos grupos se suelen enfocar en extracción de inteligencia y financiación de los propios países para los que supuestamente trabajan, aunque para ello tengan que operar contra sus propios vecinos.

 

¿Hay más grupos APT en otros países?

Por supuesto, existen más países asiáticos que tienen sus propios grupos APT, como DarkHotel de Corea del Sur y OceanLotus de Vietnam. Pero las atribuciones a estos países flaquean con la cantidad atribuida a Corea del Norte y China.

 

¿Y qué ocurre con los grupos APT en Japón?

A pesar de ser una potencia tecnológica mundial, actualmente aún no se ha descubierto ningún APT con atribución japonesa. Es decir, aunque aún no se haya localizado ningún grupo APT en el país nipón no significa que no existan, es posible incluso que estos grupos no estén orientados tanto a robo de información como sus países vecinos sino que se enfoquen en otras áreas relacionadas como el crimen organizado.