El cursor verde resplandeciente parpadeaba en un terminal, un pulso casi constante en el silencio absoluto de una oficina oscura. El año era 1996, y el ciberespacio, tal como lo conocemos ahora, todavía estaba en su infancia. En las sombras de las redes del Pentágono, algo siniestro acababa de colarse. La amenaza no colapsó el sistema ni hizo sonar alarmas; en cambio, se deslizó por la puerta trasera como un fantasma casi invisible, desplegando una llave maestra que no debería haber existido. Moonlight Maze no vino de visita. Había llegado para quedarse.  

Durante casi tres años, la brecha drenó el establecimiento de defensa estadounidense. Desde los laboratorios estériles de la NASA hasta las bóvedas de alta seguridad del Departamento de Energía, miles de archivos fueron aspirados y trasladados a medio mundo de distancia. Esto no era un adolescente aburrido en el sótano ni un ladrón solitario buscando un número de tarjeta de crédito. Esto fue una extracción quirúrgica, sincronizada y dirigida por el estado. Los objetivos no podían haber sido más precisos: comunicaciones militares encriptadas, esquemas de hardware clasificado y los mapas literales de la infraestructura más sensible de la nación.

Cuando el FBI finalmente comenzó a tirar de los hilos visibles en 1999, no encontraron un simple virus fuera de lugar. Encontraron una obra maestra de espionaje respaldado por el estado. Los hackers habían creado y utilizado un relevo de servidores universitarios comprometidos para enmascarar su rastro. Los investigadores fueron guiados en una persecución digital que saltó a través de continentes y zonas horarias. Este evento marcó el nacimiento de un nuevo tipo de guerra que el mundo no había visto antes. Un PC inofensivo operado por un ciudadano o un servidor olvidado al azar en un centro de datos era ahora la primera línea de batalla.

Moonlight Maze, como posteriormente se llamó a este grupo, no solo rompió las reglas de seguridad; las reescribió e inspiró a muchos actores similares tras de sí. Fue la primera instancia verdadera y documentada de una Amenaza Persistente Avanzada (APT), anunciando la llegada de guerras fantasma libradas en el reino digital.

Jugando al juego de ponerse al día

Los defensores estaban meses, si no años, rezagados entonces. Las cosas no han cambiado mucho. Aunque la presión evolutiva sobre defensores y atacantes está hoy más o menos al mismo nivel, la diversidad de actores de amenazas, la fácil disponibilidad de herramientas y el creciente número de objetivos han contribuido a la aparición de una nueva generación de grupos APT que son pacientes y más persistentes que nunca.

Desde los años 90, los grupos APT han dependido casi por completo del financiamiento estatal para sus operaciones. Paquetes de pago generosos para empleados, presupuestos no marcados y no contabilizados y menos responsabilidad por sus acciones eran todas las características de las acciones de APT. Pero algo cambió cuando la pandemia golpeó al comienzo de la década. Por un lado, los presupuestos y operaciones se redujeron y por otro lado algunos de los estados tuvieron que centrarse en gastar en construir y mantener hardware militar en zonas de conflicto. Incluso aquellos estados que no fueron directamente impactados tuvieron que invertir más en mantener una postura disuasoria para evitar que los estados adversarios tuvieran ideas. A medida que la financiación disminuía, los grupos APT comenzaron a buscar apoyo financiero en otros lugares y es aquí donde muchas agencias de inteligencia estatales comenzaron a estudiar el modelo de financiamiento de APT norcoreano para obtener ideas y enfoques alternativos de financiamiento.  

¿Qué es el modelo de financiamiento de APT norcoreano?

Los grupos APT norcoreanos como Lazarus no dependen de agencias estatales para financiación o reclutamiento. En lugar de esto, son un centro de ingresos o una unidad generadora de ingresos para el gobierno norcoreano. A cada grupo APT en Corea del Norte se le asigna un objetivo de ingresos además de objetivos regulares para hackeo. Grupos como Lazarus son expertos en mover grandes cantidades de criptomonedas por el mundo. Lazarus es una entidad conocida por hackear billeteras de Bitcoin con amplio conocimiento y experiencia en este ámbito.

Este modelo operacional híbrido ha demostrado ser altamente efectivo y rentable para Corea del Norte, llevando a una expansión consistente año tras año de los mandatos de sus grupos APT. En líneas similares, actores de amenazas prominentes en China, más notablemente APT 41, también han adoptado este enfoque, frecuentemente mezclando misiones dirigidas por el estado con operaciones motivadas financieramente para generar ingresos siempre que surge la oportunidad.

A medida que la frecuencia de los conflictos globales continúa escalando, las agencias de inteligencia tienen un incentivo estratégico creciente para permitir e incluso alentar a los grupos APT a autofinanciar operaciones a través de actividad cibernética ilícita. Este modelo de 'compensación' permite a los estados mantener capacidades ofensivas avanzadas mientras minimizan la presión presupuestaria directa y preservan la negación plausible. Tal enfoque también alivia la presión monetaria sobre las agencias y los grupos APT.

En los últimos dos días desde que los APT iraníes, especialmente MuddyWater retornaron a las operaciones activas, hemos visto que apuntan a instituciones financieras en los EE. UU. Esto podría interpretarse como un intento de causar un daño económico o podría ser un intento de desviar dinero hacia las arcas de MuddyWater y sus gestores. MuddyWater puede ampliar su ataque a varios objetivos globales en los días venideros y algunos de estos ataques pueden tener motivaciones financieras.

La generación de ingresos puede integrarse en el núcleo de los mandatos operativos de los grupos APT en los próximos días. Entonces, ¿por qué las agencias de inteligencia no han utilizado la generación de ingresos como un objetivo operativo central hasta ahora?  Aquí hay algunas razones:

· El uso generalizado de este modelo puede llevar a los empleados de grupos APT a desviar los fondos robados a sus propias cuentas.

· Más autonomía funcional puede hacer que los grupos cuestionen decisiones.

· Estar completamente enfocado en la generación de ingresos puede desviar la atención de operaciones principales.

Esta podría ser otra trayectoria evolutiva para los grupos APT. Un camino mixto que involucra algunas campañas enfocadas en ganancias monetarias y otras que están enfocadas en la exfiltración de datos será el camino a seguir. La adición de una capa financiera a las motivaciones operativas de los actores APT complicará el panorama de amenazas e incluso puede impactar los TTPs. Eso será tema para otra publicación de blog. Permanezcan atentos.

Lecturas adicionales y listas de verificación de seguridad OT y rastreadores de KPI

Hable con un experto en seguridad de OT de Shieldworkz.

Reserve una demostración gratuita y sin compromiso.

Recursos adicionales

Lista de Verificación de Cumplimiento NERC CIP-015-1 y Rastreador de KPI
Lista de Verificación de Protección contra Amenazas Internas
Guía para la Postura Defensiva para Empresas en el Medio Oriente