Todo lo que necesitas saber sobre la Oficina 121
Bureau 121 es la principal unidad de piratería de Corea del Norte. Esta elite militar de hackers trabaja bajo el Reconnaissance General Bureau, o RGB, una agencia de espías de Corea del Norte altamente secreta.
Se cree que las operaciones cibernéticas del Bureau son una forma rentable para que Corea del Norte mantenga una opción militar asimétrica y un medio para recolectar información de inteligencia. Sus principales objetivos de inteligencia son Corea del Sur, Japón y los Estados Unidos. Además, se informa que Corea del Norte utiliza sus capacidades de ciberguerra para espionaje y apoya su propaganda.
La unidad tiene como objetivo diversos sectores, incluyendo fabricantes de productos farmacéuticos, instituciones de investigación, instituciones financieras, compañías de IT, organizaciones gubernamentales y principales compañías de biotecnología. Su propósito principal es llevar a cabo actividades destructivas y de espionaje contra redes y sistemas a nivel mundial.
Bureau 121 tiene cuatro unidades subordinadas principales, el Grupo Andariel, el Grupo Bluenoroff, un Regimiento de Guerra Electrónica y el Grupo Lazarus.
Breve Historia de Bureau 121
Desde la creación de Bureau 121 en la década de 1980, ha crecido rápidamente desde 1998. Parte de la unidad a veces se conoce como la Banda DarkSeoul. Aunque Corea del Norte sigue siendo uno de los países más pobres, invierte mucho en Bureau 121. Se estima que la unidad tiene una base de membresía de 6,000 miembros y es la única organización de Corea del Norte que opera fuera de sus fronteras. Bureau 121 lleva a cabo operaciones para extraer dinero de organizaciones a nivel mundial mediante distintas tácticas.
Se informa que la fuerza cibernética militar de Corea del Norte cuenta con entre 3,000 y 6,000 miembros que trabajan en la Oficina 121, dentro de la Dirección General de Reconocimiento de la reclusa nación. Sus logros más notables son los ataques a bancos y medios de comunicación surcoreanos que los mantuvieron fuera de línea durante varios días en 2013.
La RGB (Dirección General de Reconocimiento) es la principal agencia de inteligencia militar de Corea del Norte. Se alega que la Oficina 121, junto con la RGB, es responsable del ataque de ransomware WannaCry en 2017, el ataque cibernético de 2014 a Sony Pictures Entertainment, y numerosos ciberdelitos. Se estima que RGB controla a más de 6,000 hackers apoyados por más de 1,000 miembros del personal técnico.
Se alega que la RGB seleccionó a mano a los miembros de la Oficina 121 en base a su aptitud para el hacking y la informática. Este grupo de hackers genera temor en todo el mundo debido a su capacidad para infiltrarse y deshabilitar organizaciones comerciales, instituciones financieras y sistemas militares.
La Oficina 121 se especializa en sabotaje y espionaje en el extranjero. Incluye ciberataques, ataques físicos a personal clave e incluso chantaje a desertores que huyeron de Corea del Norte hacia Occidente. Para llevar a cabo una ‘guerra secreta’, la Oficina 121 actúa para sabotear o espiar a los enemigos de Pyongyang.
Supuestos ataques exitosos de la Oficina 121
La Oficina 121 lanzó una serie de ataques, especialmente durante sus años de actividad. Se la acusa de ser responsable de ataques tanto en el sector privado como público en diferentes países.
Sony Pictures
En noviembre de 2014, un grupo de hackers atacó a Sony Pictures Entertainment. Obtuvieron acceso no autorizado a la red de la empresa y piratearon información privada y discos duros de personas. Los hackers exigieron que Sony retirara la película «The Interview». La violación de la seguridad tuvo grandes repercusiones. Se piratearon datos personales y salarios, correos electrónicos de la empresa y películas, planes y guiones no publicados. Además, se filtraron en línea varias películas no estrenadas, incluyendo «Fury», «Annie» y «Mr. Turner». La infraestructura informática de Sony también fue destruida.
El FBI investigó y el gobierno de EE. UU. apuntó a Corea del Norte.
Además de robar información sensible del estudio cinematográfico y publicarla para consumo público, los hackers también obligaron a muchos de los sistemas informáticos de SPE a desconectarse, incluyendo el correo electrónico.
Durante el ataque, la organización solicitó que Sony abandonara su entonces próxima película «The Interview»—una comedia sobre un complot de asesinato contra el líder norcoreano Kim Jong-un— y amenazó con atentados terroristas en los cines que proyectaran la película. Tras las amenazas, muchas de las principales cadenas de cines de EE. UU. optaron por no proyectar «The Interview», por lo que Sony canceló el estreno formal y el lanzamiento general de la película, optando por saltarse directamente a un lanzamiento digital descargable seguido de un lanzamiento teatral limitado al día siguiente.
La decisión de Sony de retirar la distribución teatral de «The Interview» resultó en enormes sanciones económicas. Sin embargo, la reputación del estudio cinematográfico ya había recibido un duro golpe.
El gobierno de EE.UU. concluyó que el gobierno de Corea del Norte estaba detrás del ataque, pero nunca han proporcionado públicamente ninguna prueba para respaldar tales alegaciones. No obstante, compañías de seguridad privadas han descubierto indicios que apuntan a la Oficina 121
Banca SWIFT
En 2015/2016, se reveló una serie de ciberataques que explotaban la red de banca SWIFT, logrando robar millones de dólares. Atribuido al gobierno de Corea del Norte, de ser confirmado, habría sido el primer caso conocido de cibercrimen patrocinado por el estado.
Sin embargo, los expertos sospechan que el grupo de hackers Lazarus (una subsidiaria de la Oficina 121) es responsable de delitos de alto perfil como el hackeo de Sony Pictures, el robo al Banco de Bangladesh y varios otros ciberataques en todo el mundo.
Los hackers utilizaron malware y correos electrónicos de phishing para infiltrarse en los sistemas bancarios y hacerse con el control de las cuentas de alto valor. Si se confirmara la atribución a Corea del Norte, habría sido la primera instancia de una entidad estatal utilizando ciberataques para robar fondos. Los hackers utilizaron malware sofisticado y mensajes de spear-phishing para obtener acceso a las redes bancarias. Luego manipularon los mensajes SWIFT para transferir fondos.
Se informó que el gobierno de Corea del Norte instruyó a sus ciberhackers para que se dirigieran a bancos en unos 18 países. Fue un intento por recaudar fondos para sortear las sanciones internacionales.
La comunidad internacional sancionó a Corea del Norte por sus pruebas de misiles balísticos y nucleares. Esto, por supuesto, significa que la nación ermitaña está aislada de los bancos internacionales. Para sortear esto, los expertos creen que los funcionarios norcoreanos enviaron hackers para atacar bancos en aproximadamente 18 países. Se instruyó a los hackers para que robaran tanto dinero como fuera posible por medios fraudulentos para que el gobierno norcoreano lo pudiera usar para financiar sus programas militares.
Los atacantes explotaron numerosas vulnerabilidades en los sistemas bancarios de los bancos miembros. Esto les permitió tomar control de las credenciales Swift de los bancos. Posteriormente, los ladrones utilizaron esas credenciales para enviar solicitudes de transferencia de dinero Swift a otros bancos. A partir de ahí, transfirieron el dinero a cuentas controladas por los hackers, considerando los mensajes como auténticos.
Ataque del Ransomware WannaCry
En mayo de 2017, computadoras de todo el mundo fueron atacadas por un ransomware conocido como WannaCry. El ciberataque utilizó una vulnerabilidad de software supuestamente identificada por la Agencia de Seguridad Nacional (NSA) de EE.UU. y publicada por la organización de hackers The Shadow Brokers un mes antes.
Los ciberatacantes cifraron los datos y demandaron pagos de rescate en la criptomoneda Bitcoin. El ciberataque de ransomware WannaCry fue una importante «llamada de atención» digital que apuntó a computadoras y redes que funcionaban con el sistema operativo Windows. Además, el malware se cebó con sistemas más viejos que todavía estaban ejecutando un exploit desarrollado por la NSA de Estados Unidos, que The Shadow Brokers había robado y filtrado.
El ransomware se expandió por todo el mundo, infiltrándose en computadoras con sistemas operativos Windows más antiguos y cifrando archivos. Provocó estragos en hospitales del Reino Unido, FedEx en los EE.UU., y muchas más víctimas en todo el mundo. Muchos usuarios perdieron el acceso a sus archivos durante estos ataques y solo pudieron recuperar el acceso después de pagar el rescate en bitcoin.
Sin embargo, muchos de los parches habían estado disponibles durante seis meses antes del ataque. Para mediados de 2016, todas las versiones soportadas habían parcheado las vulnerabilidades. Aun así, seguía siendo una amenaza para aquellos que utilizaban sistemas sin parchear o no soportados, como Windows XP. Esto sugiere que hubo una falta de «ingeniería inversa» para inspeccionar el malware desconocido, escaneando sus descifradores y analizando sus códigos de malware tras su descubrimiento inicial.
El ataque comenzó en mayo de 2017 y no fue un hecho aislado. Infectó a más de 230.000 ordenadores en más de 150 países, con pérdidas de más de 4 mil millones de dólares solo en su primer día. Los fiscales federales de Estados Unidos afirmaron que Corea del Norte estaba detrás del ataque al día siguiente.
Ataque a Corea del Sur
Alrededor del 20 de marzo de 2013, se sospecha que un ciberataque norcoreano causó que tres cadenas de televisión surcoreanas y un banco perdieran sus terminales de computadora en un supuesto acto de ciberguerra.
Aproximadamente 19,000 computadoras y servidores en importantes emisoras de televisión y bancos en Corea del Sur fueron afectados.
KBS, MBC y YTN emitieron una pantalla en blanco durante unos 15 minutos. Los bancos – Shinhan, Nonghyup y Jeju Bank – también se vieron incapacitados para operar después de que el ataque comprometiera gravemente sus redes de computadoras. Además, muchos cajeros automáticos quedaron fuera de servicio, sirviendo como recordatorio de que infraestructuras críticas como los sistemas bancarios son susceptibles a ciberataques.
Todas las organizaciones afectadas estaban conectadas a una red común, lo que implica que los hackers probablemente apuntaron a una debilidad en esa red. Los atacantes aparentemente se centraron más en borrar archivos que en exigir un rescate. Actualmente no está claro cómo llevó a cabo el grupo el ataque ni quién está detrás de él. Los ataques ocurrieron alrededor de las 8 pm del 20 de marzo y se controlaron después de 17 horas.
Los códigos maliciosos se liberaron en las computadoras de los usuarios a través de vulnerabilidades en navegadores o páginas web. El código se activaba solo cuando se accedía a ciertos sitios web. Realizó el ataque borrando archivos en los discos duros.
Los discos duros de las computadoras de las principales estaciones de televisión y bancos en Corea del Sur fueron borrados sistemáticamente, lo que afectó a 32,000 computadoras. Los atacantes borraron los archivos más críticos de tres estaciones, KBS, MBC y YTN. También afectó a dos bancos: el Shinhan Bank y el Jeju Bank. Se cree que el ataque fue un ataque sintético patrocinado por un estado que utilizó varias cepas diferentes de malware. Aunque se sospechaba ampliamente que Corea del Norte era el agresor, no se ha hecho ninguna determinación oficial.
Conclusión
La Oficina 121 es una organización norcoreana de hackers expertos en computadoras de alto secreto. Se les ha acusado de hackear bancos internacionales y varias empresas en los últimos años. La Oficina 121 busca a prodigios tradicionales. El grupo recluta principalmente a jóvenes y los entrena para convertirlos en hackers destacados. Los envían a todo el mundo para causar estragos en sus enemigos.