{"id":6735,"date":"2016-02-24T13:53:11","date_gmt":"2016-02-24T13:53:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6735"},"modified":"2017-11-07T12:24:57","modified_gmt":"2017-11-07T18:24:57","slug":"operation-blockbuster","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/operation-blockbuster\/6735\/","title":{"rendered":"Lo que se conoce sobre el grupo Lazarus: el hackeo de Sony, espionaje militar, ataques a bancos coreanos y otros cr\u00edmenes"},"content":{"rendered":"<p>La ma\u00f1ana del 24 de noviembre del 2014 est\u00e1 grabada a fuego en la memoria colectiva de los empleados de Sony Pictures Entertainment. Aquel d\u00eda, una banda de cibercriminales hacke\u00f3 el servidor de la compa\u00f1\u00eda y filtr\u00f3 una gran cantidad de informaci\u00f3n confidencial, provocando da\u00f1os de reputaci\u00f3n enormes a la empresa. El FBI <a href=\"http:\/\/techcrunch.com\/2014\/12\/19\/the-fbi-blames-north-korea-for-sony-hack\/\" target=\"_blank\" rel=\"noopener nofollow\">sospechaba<\/a> de unos hackers de Corea del Norte. Desde entonces, no se ha sabido mucho m\u00e1s sobre estos criminales. Hasta ahora.<\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-7581\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195203\/operation-blockbuster-featured-2.jpg\" alt=\"operation-blockbuster-featured\" width=\"1280\" height=\"840\"><\/p>\n<p>Kaspersky Lab llev\u00f3 a cabo una investigaci\u00f3n conjunta junto a Novetta y AlienVault (la llamada Operaci\u00f3n Blockbuster) sobre la actividad del grupo Lazarus, en beneficio de todos. Se cree que esta banda es la responsable del hackeo de Sony Pictures junto a otros <a href=\"https:\/\/securelist.com\/blog\/incidents\/65106\/south-korean-whois-team-attacks\/\" target=\"_blank\" rel=\"noopener\">ataques contra bancos y operadores con base en Se\u00fal<\/a> que tuvieron lugar en el a\u00f1o 2013.<\/p>\n<p>Tras la sonada brecha de Sony Pictures, nuestros especialistas analizaron las muestras del <em>malware<\/em> Destover que, al parecer, estaba involucrado en el ataque. Los estudios revelaron el rastro de decenas de campa\u00f1as cibern\u00e9ticas que utilizaban diferentes muestras de malware con una serie de caracter\u00edsticas comunes.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">New Version of <a href=\"https:\/\/twitter.com\/hashtag\/Destover?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Destover<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Malware<\/a> Signed by Stolen <a href=\"https:\/\/twitter.com\/Sony?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Sony<\/a> Certificate \u2013 <a href=\"http:\/\/t.co\/mDq0ZRgUgp\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/mDq0ZRgUgp<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/542409928632049665?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 9, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gracias a esta investigaci\u00f3n, Kaspersky Lab pudo detectar de forma proactiva el nuevo<em> malware <\/em>producido por la misma amenaza.<\/p>\n<p><strong>\u00bfQu\u00e9 m\u00e1s acciones llev\u00f3 a cabo el grupo Lazarus y c\u00f3mo los identificamos?<\/strong><\/p>\n<p>Los atacantes fueron reutilizando sus propios avances: utilizaron algunos fragmentos del c\u00f3digo de un programa malicioso y los implementaron en otro. Adem\u00e1s, los <em>droppers<\/em>, archivos especiales que se utilizan para instalar diferentes variaciones de una carga maliciosa, almacenan los datos en un archivo ZIP protegido. La contrase\u00f1a era la misma en las diferentes campa\u00f1as. De hecho, estaba cifrada en el <em>dropper<\/em>.<\/p>\n<p>Incluso los m\u00e9todos que utilizaron los criminales para borrar sus huellas de los sistemas infectados eran similares, caracter\u00edstica que ayud\u00f3 a identificar al grupo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Evidence suggests <a href=\"https:\/\/twitter.com\/Sony?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Sony<\/a> hackers are alive &amp; well and still <a href=\"https:\/\/twitter.com\/hashtag\/hacking?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hacking<\/a> <a href=\"https:\/\/t.co\/uEgsLcrOUP\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/uEgsLcrOUP<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/fzcpD7aUOL\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/fzcpD7aUOL<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/698175098260480000?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La investigaci\u00f3n revel\u00f3 que el grupo Lazarus estaba involucrado en <a href=\"https:\/\/blogs.mcafee.com\/mcafee-labs\/dissecting-operation-troy-cyberespionage-in-south-korea\/\" target=\"_blank\" rel=\"noopener nofollow\">campa\u00f1as de espionaje militar<\/a>, y sabote\u00f3 las operaciones de instituciones financieras, medios de comunicaci\u00f3n y empresas fabricantes. Por lo que sabemos, la mayor\u00eda de las v\u00edctimas residen en Corea del Sur, India, China, Brasil, Rusia y Turqu\u00eda. Estos criminales crean programas maliciosos, como Hangman (2014-2015) y Wild Positron (tambi\u00e9n conocido como Duuzer, 2015). Wild Positron fue uno de los temas que se discutieron en el <a href=\"https:\/\/latam.kaspersky.com\/blog\/tag\/thesas2016\/\" target=\"_blank\" rel=\"noopener\">Congreso de Analistas de Seguridad 2016 (SAS 2016)<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195202\/lazarus_map_EN.png\" alt=\"\" width=\"2000\" height=\"1633\"><\/p>\n<p>Kaspersky Lab comparti\u00f3 los resultados de la investigaci\u00f3n con AlienVault Labs. Finalmente, los investigadores de ambas empresas decidieron unir sus esfuerzos y llevar a cabo una investigaci\u00f3n conjunta. La actividad del grupo Lazarus tambi\u00e9n estaba siendo investigada por muchas otras empresas y especialistas en seguridad. Una de estas empresas, Novetta, tom\u00f3 la iniciativa de publicar los resultados de nuestra investigaci\u00f3n como parte de la \u201c<a href=\"https:\/\/operationblockbuster.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Operaci\u00f3n Blockbuster<\/a>\u201c, y nosotros les apoyamos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Is North Korea Really Behind the Sony Breach?: <a href=\"https:\/\/t.co\/nb46bzxZXk\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nb46bzxZXk<\/a> <a href=\"http:\/\/t.co\/6nZ4m8Yg0z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6nZ4m8Yg0z<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/546110282544971777?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 20, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00bfQu\u00e9 sabemos sobre estos criminales?<\/strong><\/p>\n<p>Las primeras muestras de<em> malware<\/em> creadas por el grupo Lazarus se remontan a 2009. Desde 2010, la cifra de nuevas muestras ha crecido progresivamente. Esto caracteriza al grupo Lazarus como una amenaza estable y duradera. En 2014-2015 la productividad del grupo alcanz\u00f3 su punto \u00e1lgido y estos criminales siguen activos a\u00fan en 2016.<\/p>\n<p>\u00a0<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195202\/operation-blockbuster-samples-count.png\" alt=\"\" width=\"808\" height=\"540\"><\/p>\n<p>A juzgar por las horas de actividad de los miembros de la banda, viven en una zona horaria de <a href=\"http:\/\/wwp.greenwichmeantime.com\/time-zone\/gmt-plus-8\/\" target=\"_blank\" rel=\"noopener nofollow\">GMT+8<\/a> o <a href=\"http:\/\/wwp.greenwichmeantime.com\/time-zone\/gmt-plus-9\/\" target=\"_blank\" rel=\"noopener nofollow\">GMT+9<\/a>. Empiezan a trabajar alrededor de media noche (00:00 GMT) y paran para comer sobre las 3:00 GMT. Adem\u00e1s, sabemos que los miembros de la banda son adictos al trabajo: su jornada de trabajo dura unas 15-16 horas. El grupo Lazarus es, probablemente, el grupo APT m\u00e1s trabajador que conocemos (y hemos estudiado <a href=\"https:\/\/apt.securelist.com\/\" target=\"_blank\" rel=\"noopener\">un gran n\u00famero de ellos<\/a> a lo largo de los a\u00f1os).<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195201\/lazarus-group-activity.png\" alt=\"\" width=\"786\" height=\"538\"><\/p>\n<p>Hay otra interesante observaci\u00f3n. A juzgar por el conjunto de muestras del grupo Lazarus, compilado por Novetta, casi dos terceras partes de los archivos ejecutables de los cibercriminales incluyen elementos t\u00edpicos para los usuarios de habla coreano.<\/p>\n<p>La investigaci\u00f3n sigue en progreso. Para saber m\u00e1s sobre el grupo Lazarus y nuestros descubrimientos, visita <a href=\"https:\/\/securelist.lat\/featured\/82697\/operation-blockbuster-revealed\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n<p>La Operaci\u00f3n Blockbuster ayud\u00f3 a todas las partes implicadas a averiguar mucho sobre esta peligrosa banda cibern\u00e9tica. No habr\u00edamos logrado los mismos resultados sin esta colaboraci\u00f3n por varias razones, entre las que se incluye la distribuci\u00f3n geogr\u00e1fica de las soluciones de seguridad, desarrolladas por diferentes empresas. Nuestra colaboraci\u00f3n es un buen ejemplo de c\u00f3mo el intercambio de informaci\u00f3n ayuda a identificar a los verdaderos criminales y hacer de Internet un lugar m\u00e1s seguro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kaspersky Lab y sus colaboradores revelan ciertos detalles sobre la investigaci\u00f3n conjunta de la peligrosa actividad del grupo Lazarus.<\/p>\n","protected":false},"author":522,"featured_media":6737,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,2737],"tags":[122,99,2382,271,90,1282,101,2383,34,2384,40],"class_list":{"0":"post-6735","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-privacy","9":"tag-apt","10":"tag-cibercriminales","11":"tag-darkseoul","12":"tag-hackeo","13":"tag-hackers","14":"tag-investigacion","15":"tag-kaspersky-lab","16":"tag-lazarusapt","17":"tag-malware-2","18":"tag-operacion-blockbuster","19":"tag-sony"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-blockbuster\/6735\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-blockbuster\/6763\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-blockbuster\/6835\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-blockbuster\/7797\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-blockbuster\/7580\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-blockbuster\/10995\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-blockbuster\/11407\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-blockbuster\/6013\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-blockbuster\/10500\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-blockbuster\/10995\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-blockbuster\/11407\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-blockbuster\/11407\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6735","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=6735"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6735\/revisions"}],"predecessor-version":[{"id":9761,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6735\/revisions\/9761"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/6737"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=6735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=6735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=6735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}