¿Quién está detrás del ataque de WannaCry? Una pista señala a Norcorea

Por Thomas Fox-Brewster  A medida que la ley y expertos en seguridad comienzan a investigar quién está detrás del ataque masivo del ransomware WannaCry a las computadoras del mundo, una pista los tiene intrigados. Apunta a Norcorea. La pista se basa en el código. El investigador de seguridad de Google, Nell Mehta, publicó un misterioso tweet que enlazaba a dos muestras de malware: uno era WannaCry y el otro una creación de una pandilla de hackers llamada ‘Lazarus Group’ vinculada al catastrófico hack de Sony en 2014 y ataques al sistema bancario SWIFT que resultaron en un robo cibernético récord de 81 millones de dólares de un banco en Bangladesh. De acuerdo con análisis previos de diversas firmas de seguridad, Lazarus también es de Corea del Norte. Después del post de Mehta, Kaspersky Lab probó el código al igual que el investigador de seguridad de Proofpoint, Darien Huss, y el fundador de Comae Technologies, Matthieu Suiche. Todos habían estado activamente investigando y defendiendo la web contra el virus WannaCry mientras todos seguíamos intrigados por la posibilidad de que esté relacionado con Norcorea. Cualquier creencia sobre el hallazgo de Mehta podría proporcionar una pista sobre los creadores de WannaCry, el cual tomó una herramienta de hacking de la NSA para infectar a más de 200,000 sistemas, causando serios retrasos y tiempo de inactividad en hospitaes de Reino Unido, y sacando de línea a fabricantes de autos como Renault y Nissan, entre otros problemas. Pero, podría ser también una bandera flasa intencionalmente alojada en el código para despistar a los investigadores y llevarlos por el camino equivocado. ¿Qué código fue copiado? Mehta y los demás investigadores que se abalanzaron sobre su descubrimiento dijeron que una parte del código de WannaCry era 100% igual que una porción de Contopee, el malware usado por Lazarus Group. WannaCry fue lanzado a partir de febrero en 2017, mientras que Contopee fue difundido durante el mismo mes, pero de 2015. El código aparentemente copiado se usó en ambas muestras del malware por un generador de código aleatorio que mostraría un número aleatorio entre 0 y 75. Eso se utilizaría para codificar datos, y ensombrecería la operación del malware, ayudándolo a evitar que herramientas de seguridad lo detectaran. Basado únicamente en el código copiado, Kaspesky Lab dijo que era “la pista más significativa hasta el momento con respecto al origen de WannaCry”. El director del equipo munidal de investigación y análisis de Kapersky Lab, Costin Raiu, dijo a Forbes que el malware que Mehta había investigado parecía ser el mismo encontrado por BAE Systems, uno que vinculaba al grupo del hack bancario de Bangladesh con Lazarus. “Por supuesto, se requiere de mayor investigación en estos momentos, pero Neel podría haber encontrado la clave para identificar a los responsables de WannaCry”, agregó Raiu. Suiche estuvo de acuerdo: “También concuerda con la narración del Grupo Lazarus, son conocidos por dirigirse a instituciones financieras como bancos, y el hecho de que crearan un virus para robar dinero a través de la encriptación se suscribe a al mismo modus operandi”. Lo que hace a la pista especialmente intrigante es que el código puede ser único, vinculado sólo a Lazarus y a nadie más. Un investigador, quien pidió permanecer anónimo, dijo que había muy pocas coincidencias al comparar el código al malware en un vasto arsenal de virus al que tenía acceso. Parecía probable que los hackers de WannaCry tomaron prestado de un conjunto muy limitado de herramientas utilizado por Grupo Lazarus y de ningún otro actor malicioso, dijo, aumentando la probabilidad de que ambos estén asociados. El gigante de seguridad Symantec, que ha rastreado a Grupo Lazarus en los años recientes, dijo que también había encontrado algunas conexiones interesantes. Sus investigadores encontraron versiones recientes de WannaCry en abril y a principios de mayo que no habían sido distribuidos ampliamente, pero que fueron descubiertos en los sistemas poco después de haber sido hackeados con herramientas ya conocidas del Grupo Lazarus. “Sin embargo, aún no hemos podido confirmar que las herramientas de Lazarus hayan sido despleagadas por WannaCry en estos sistemas”, declaró la firma. WannaCry utilizó formas de encriptación web que “históricamente eran únicas en comparación con las herramientas de Lazarus”. Vikram Thakur, director técnico de Symantec, dijo que su equipo había estado investigando posibles vínculos con importantes grupos cibernéticos desde el viernes. También señaló que existía un comportamiento algo extraño en los responsables del malware WannaCry, particularmente en el uso compartido de sus carteras Bitcoin para sacar dinero. Al incluir éstas en el código del malware, sería fácil seguirlos si deciden sacarlo. Esto dejó a Thakur pensando: ¿Sería que los hackers sólo estaban tratando de causar un daño global a los sistemas en lugar de robar dinero? Desde los ataques de Sony y los hacks catastróficos en Surcorea que estaban relacionados con Lazarus, no estaría fuera de la cuestión participar en el brote del malware problemático que llevó a situaciones potencialmente mortales en los hospitales británicos. Lejos de ser defintivo No obstante, todo esto debe tomarse como un muy pequeño descubrimiento. La pista está todavía muy lejos de ser clara y la información pudo haber sido platada en el código con la intención de despistar a los investigadores y a la ley, según expertos. El investigador anónimo dijo que estuvo estudiando el código por horas y que no estaba del todo convencido. “Hay coincidencias por la funcionalidad no parece ser única”. Las similitudes en el código no quieren decir necesariamente que sean propiedad del mismo hacker. Como Huss señaló, el Grupo Lazarus es conocidpor crear herramientas basadas en una fuente de código abierta. “mi principal preocupación es que la función similar en cuestión haya sido robada de algún otro lugar”, agregó. “Debemos ser cautelosos, ya que existe la posibilidad real de que esto sólo sea un código superpuesto y copiado por dos grupos distintos”. Los hackers regularmente comparten código. De hecho, también podría ser un grupo que encontró las mismas herramientas que utiliza Lazarus Group y las reutilizó. O, como Thakur dice, puede haber 2,000 muestras de malware  que se mantuvieron en secreto en algún foro de criminales cibernéticos den el que comparten herramientas. Pero en un caso con pocas pistas, donde los 60,000 dólares en Bitcoin robados a las víctimas de WannaCry no han llevado a identificar a ningún responsable aún, es por lo menos algo.