Unidad 180: el grupo secreto de Corea del Norte que amenaza al mundo con ciberataques

Ladrones de guante blanco, abren cajas fuertes a miles de kilómetros de distancia sin pisar el lugar de los hechos. Así es el grupo encargado de llenar las arcas de Pyongyang

Iaume Esteve

Tomado de El Confidencial

Son un grupo de cibercriminales con un múltiple fin, engordar las cuentas corrientes de su empleador, Corea del Norte, y desestabilizar políticamente a sus rivales. La llamada Unidad 180 es un grupo único en el mundo y responsable de algunos de los golpes económicos más importantes de los últimos años.

 La información la ha adelantado Reuters y señala a un grupo, relacionado con la inteligencia norcoreana, encargado de hackear de bancos y otras instituciones financieras así como golpear en reactores nucleares u otras infraestructuras críticas.

"Es un caso muy único en todo el planeta", asegura Vicente Díaz, analista de seguridad de Kaspersky, que cree que no existen grupos equivalentes en todo el planeta. Como suele suceder en estos casos, no existen pruebas concluyentes que enlacen a ambos actores aunque se sospecha que el gobierno de Pyongyang se encuentra detrás de este equipo. "Al ser una dictadura y un país muy 'sui generis', totalmente aislado, es complicado hablar de certezas ya que hay muchas especulaciones".

Desde Thiber, un 'think tank' especializado en temas de seguridad informática, también señalan la dificultad de tender lazos entre estos grupos y los gobiernos que los patrocinan. "Su vinculación real a sus respectivos gobiernos no es pública" aunque aseguran que cada vez aparecen más actores vinculados a las supuestas potencias del ciberespacio como Estados Unidos (Equation Group), China (Comment Crew, APT 2) o Rusia (Sofacy, APT 29).

¿Quién ha sido el encargado de soltar la liebre acerca de la Unidad 180? Se trata de Kim Heung-kwang, un profesor de informática que pudo cruzar la frontera y exiliarse en el sur y que dio clase a algunos alumnos que han engrosado las filas del ciberejército norcoreano. Según Heung-kwang, la Unidad 180 forma parte de la Agencia de Reconocimiento (RGB por sus siglas en inglés), la principal organización de inteligencia del país.

"Los 'hackers' se desplazan al extranjero para encontrar mejores conexiones de las que existen dentro del país y para no dejar rastro", asegura el antiguo ciudadano de Corea del Norte. Esos agentes se camuflan como representantes de empresas norcoreanas que trabajan en el extranjero y suelen estar afincados en China y el sureste asiático.

Los miembros de la Unidad 180 trabajan habitualmente en China o el sureste asiático camuflados como representantes de empresas

En Thiber recuerdan que los equipos del ejército norcoreano trabajan con la llamada Oficina 121, la agencia encargada de las operaciones de ciberguerra dentro del RGB. A este grupo se le atribuye el 'malware' DarkSeoul, responsable del un ataque que en 2013 afectó a tres televisiones y un bancode Corea del Sur y que es "plausible" que operen con "equipos deslocalizados" en ubicaciones diversas y probablemente en cooperación con algún gobierno afín. El ataque de 2013, por ejemplo, llegó desde una IP china.

"Cada país tiene sus unidades de inteligencia y de ciberespionaje, que es entendible hasta cierto punto. Pero un grupo dedicado en exclusiva al robode entidades financieras es poco habitual", explica Vicente Díaz. El analista señala al ataque a Sony como el punto de inflexión de estos grupos relacionados con el gobierno de Corea del Norte.

De 'The Interview' a robar bancos

 

El ataque a Sony Pictures, que desembocó en la filtración de The Interview antes del estreno y de la publicación de decenas de miles de correos electrónicos de la compañía, fue el que marcó un cambio de tendencia en la conducta de este grupo que, desde entonces, se ha "desbocado" en palabras de Díaz. "No hablamos de un grupo único sino muy activo, y es preocupante que esté esponsorizado por un gobierno si es encuentra detrás de estos ataques económicos".

En Thiber explican que los argumentos que sirven para atribuir un ataque son diversos y variados. Entre ellos se cuentan "las tácticas técnicas, los procedimientos empleados, los rangos de IPs, los dominios que se utilizan, la lengua empleada en los códigos fuente o los comentarios que generan". Con esas piezas se considera que se puede atribuir un ataque al regimen de Pyongyang.

Fue a partir del ataque a Sony cuando la Unidad 180 cambio su 'modus operandi' y se centró en entidades financieras para generar ingresos para el regimen. Según las fuentes consultadas por Reuters, la táctica ha sido más efectiva para Pyongyang que otras prácticas delictivas como el contrabando, el tráfico de drogas o las falsificaciones.

Según un informe que el Departamento de Defensa de Estados Unidos remitió al Congreso el año pasado, Corea del Norte ve en estas prácticas una forma de llevar a cabo ataques con una alta efectividad y con un riesgo mínimo de que desemboquen en represalias por parte de otros países. Así, también se sospecha de que la Unidad 180 no sólo ha estado detrás del ataque al Banco Central de Bangladesh sino también de ofensivas contra bancos en Polonia, Filipinas y Vietnam.

---