Hackers norte-coreanos se infiltram em empresas americanas para roubar dados e segredos tecnológicos
Cibercriminosos eram contratados como desenvolvedores de software e trabalhos remotos para roubar informações e dinheiro, apontou relatório
O Departamento de Justiça dos EUA acusou a Coreia do Norte de usar infiltrar "milhares" de trabalhadores em companhias de todo o mundo.
A partir de vagas remotas, estes trabalhadores norte-coreanos qualificados são contratados por companhias nos Estados Unidos usando "identidades roubadas ou emprestadas de cidadãos americanos para se passar por trabalhadores locais" e coletar informações para o regime de Kim Jong-un sem levantar suspeitas. As informações são do jornal El País.
Recentemente, a empresa de cibersegurança CrowdStrike, que ganhou notoriedade há um mês e meio por causar uma interrupção global em sistemas Windows, revelou que um grupo de hackers da Coreia do Norte comprometeu mais de 100 empresas americanas.
A maioria dessas empresas opera no setor de tecnologia e fintechs. Esses hackers, contratados como desenvolvedores remotos, instalaram softwares maliciosos para acessar dados confidenciais e obter e lucrar com informações sensíveis.
As ameaças foram identificadas Adam Meyers, especialista em Ameaças Persistentes Avançadas (APTs) e responsável pela inteligência e operações contra cibercriminosos na CrowdStrike, após relatos de um cliente sobre uma infiltração maliciosa.
Ele alerta que a campanha não se restringe a empresas de tecnologia, mas se dirige também aos setores aeroespacial e de defesa.
Segundo Meyers, o grupo norte-coreano responsável pela infiltração, chamado de Famous Chollima, é organizado, o que permite elaboração de ataques "complexos, coordenados e rápidos". Patrocinados pelo governo de Kim Jong-un, eles também tem recursos e estrutura hierárquica bem definida. O regime nega qualquer vínculo com o grupo.
Segundo o El País, o relatório da CrowdStrike apontou que o Famous Chollima obteu um acesso "profundo e duradouro" aos sistemas remotos de dezenas de empresas, o que "durante muito tempo foi quase impossível de detectar”.
Em entrevista ao jornal. Mayer afirma: “O Departamento de Justiça estima que essas ações tenham gerado para os atacantes cerca de 6,8 milhões de dólares em dois anos, mas acredito que estamos apenas arranhando a superfície da extensão dessa campanha”.
Segundo ele, os cibercriminoso buscavam dados "que pudessem trazer valor para a República Popular Democrática da Coreia, como inteligência comercial sensível e informações patenteadas de várias empresas tecnológicas".
O Departamento de Justiça identificou pelo menos 300 empresas afetadas por infiltrações desse tipo nos últimos meses, incluindo as mais de cem do setor tecnológico detectadas pela CrowdStrike. Em resposta a essa ameaça crescente, o FBI emitiu um alerta, direcionado tanto a empresas públicas quanto privadas.
O aviso forneceu orientações para fortalecer a proteção contra tais intrusões e solicitou que os casos de ataques conhecidos fossem reportados.
A dificuldade em identificar a origem dos ciberataques, que frequentemente utilizam redes de servidores internacionais para ocultar suas trilhas, facilita as operações de espionagem. A prática é utilizada por países, que financiam grupos de hackers para realizar ações disfarçadas, evitando assim problemas diplomáticos.
A Coreia do Norte se destaca por usar seus hackers para gerar receita através do roubo de criptomoedas, dado o isolamento do regime por sanções internacionais. Recentemente, o grupo Citrine Sleet explorou uma vulnerabilidade no navegador Chromium para roubar criptomoedas.
O maior roubo digital conhecido foi realizado pelo grupo Lazarus, de onde o Famous Chollima surgiu, que levou cerca de 1 bilhão de euros em dois anos.
Um relatório do Conselho de Segurança das Nações Unidas estimativa que os norte-coreanos tenham roubado cerca de 3 bilhões de dólares em criptomoedas desde 2017.
Desde que assumiu o poder em 2009, Kim Jong-un tem incentivado o uso do ciberespaço para benefício do regime, segundo a jornalista Anna Fifield, autora de O Grande Sucessor (2021).
O Lazarus, incluindo suas facções Stardust Chollima e Labyrinth Chollima, foca em monetização, enquanto o Famous Chollima está envolvido com o sistema armamentista norte-coreano.
Outra prática frequente entre os hackers norte-coreanos é tentar acessar os computadores de colegas estrangeiros para se atualizar sobre as últimas tendências em cibersegurança.
O hacker americano Alejandro Cáceres, conhecido como P4x ou _hyp3ri0n, foi vítima de uma tentativa deste tipo de intrusão em 2021. Como retaliação, ele respondeu derrubando a internet em toda a Coreia do Norte por uma semana. "Eu sabia que o que fiz era ilegal, mas não imaginava que a Coreia do Norte me processaria", afirmou ao El País.