Espiões cibernéticos norte-coreanos criaram duas empresas nos Estados Unidos, violando sanções do Tesouro norte-americano, para infectar com software malicioso as máquinas de desenvolvedores que trabalham no setor de criptomoedas, de concordância com pesquisadores de segurança e documentos analisados pela Reuters.
As empresas Blocknovas e Softglide foram criadas nos estados do Novo México e de Novidade York por meio do uso de identidades e endereços falsos, disseram à Reuters pesquisadores da Silent Push, uma empresa norte-americana de segurança cibernética. Uma terceira empresa, a Angeloper Agency, está vinculada à iniciativa, mas não parece estar registrada nos Estados Unidos.
“Levante é um vasqueiro exemplo de hackers norte-coreanos conseguindo, de vestuário, estabelecer entidades corporativas legais nos EUA para fabricar frentes empresariais usadas para brigar candidatos a tarefa desavisados”, disse Kasey Best, diretor de perceptibilidade de ameaças da Silent Push.
Os hackers fazem segmento de um subgrupo dentro do Lazarus Group, uma equipe de escol de hackers norte-coreanos ligada ao Reconnaissance General Bureau, a principal filial de perceptibilidade estrangeira de Pyongyang, disse a Silent Push.
O FBI se recusou a comentar especificamente sobre o Blocknovas ou o Softglide. Mas, nesta quinta-feira (24), um aviso do FBI publicado no site do Blocknovas afirmava que o domínio havia sido apreendido “uma vez que segmento de uma ação policial contra cibercriminosos norte-coreanos que utilizavam leste domínio para enganar indivíduos com anúncios de tarefa falsos e partilhar malware”.
Antes da inquietação, autoridades do FBI disseram à Reuters que o departamento continua “a se concentrar em impor riscos e consequências, não somente aos próprios atores da RPDC (Coreia do Setentrião), mas a qualquer um que esteja facilitando sua capacidade de conduzir esses esquemas”.
Um funcionário do FBI disse que as operações cibernéticas norte-coreanas são “talvez uma das ameaças persistentes mais avançadas” enfrentadas pelos EUA.
A missão da Coreia do Setentrião nas Nações Unidas em Novidade York não respondeu imediatamente a um pedido de glosa.
“Esses ataques utilizam personas falsas oferecendo entrevistas de tarefa, o que leva à implantação de malware sofisticado para comprometer as carteiras de criptomoedas dos desenvolvedores. Eles também têm uma vez que branco as senhas e credenciais dos desenvolvedores, que podem ser usadas para ataques posteriores a empresas legítimas”, disse Best.
A Silent Push conseguiu confirmar diversas vítimas, “especificamente por meio da Blocknovas, que é de longe a mais ativa das três empresas de frente”, disseram os pesquisadores em um relatório compartilhado com a Reuters antes da publicação.
SANÇÕES
A Reuters analisou os documentos da Blocknovas e da Softglide registrados no Novo México e em Novidade York, respectivamente. A filial não conseguiu localizar as pessoas nomeadas nos documentos.
O registro da Blocknovas listava um endereço físico em Warrenville, Carolina do Sul, que aparece no Google Maps uma vez que um terreno baldio. Já a Softglide parece ter sido registrada por um pequeno escritório de contabilidade em Buffalo, Novidade York.
A atividade representa a evolução contínua nos esforços da Coreia do Setentrião para atingir os setores de criptomoedas, em uma tentativa de captar recursos para o governo norte-coreano.
Além de roubar moeda estrangeira por meio de hacks, a Coreia do Setentrião enviou milhares de profissionais de TI ao exterior para trazer milhões para financiar o programa de mísseis nucleares de Pyongyang, de concordância com os Estados Unidos, a Coreia do Sul e as Nações Unidas.
A presença de uma empresa controlada pela Coreia do Setentrião nos Estados Unidos constitui uma violação das sanções do Escritório de Controle de Ativos Estrangeiros (Ofac, na {sigla} em inglês). O Ofac faz segmento do Departamento do Tesouro. A presença também viola as sanções das Nações Unidas que proíbem atividades comerciais norte-coreanas destinadas a facilitar o governo ou as forças armadas do país.
O Departamento de Estado de Novidade York informou à Reuters que não comenta sobre empresas registradas no estado. O gabinete do secretário de Estado do Novo México informou à Reuters, por e-mail nesta quinta-feira, que a empresa estava registrada no sistema online de LLCs Domésticas do estado. “O registro foi feito em conformidade com a lei estadual, utilizando um agente registrado, e não haveria uma vez que nosso escritório saber de sua conexão com a Coreia do Setentrião”, disse um representante do escritório.
Os hackers buscavam infectar candidatos a empregos falsos com pelo menos três tipos de malware conhecidos, vinculados a operações cibernéticas da Coreia do Setentrião. O malware vinculado à campanha da Silent Push pode ser usado para roubar informações, facilitar o entrada a redes e carregar outras formas de malware.
