EUA desmantelam operação norte-coreana
9 de Agosto de 2024

O Departamento de Justiça dos EUA prendeu um homem de Nashville acusado de ajudar trabalhadores de TI norte-coreanos a obter trabalho remoto em empresas por todo o Estados Unidos e operar uma "laptop farm" usada para se passar por indivíduos baseados nos EUA.

Matthew Isaac Knoot, de 38 anos, auxiliou os norte-coreanos a usar uma identidade roubada para se passarem por Andrew M., um cidadão dos EUA, providenciou moradia para os laptops fornecidos pela empresa e ajudou a lavar os pagamentos do trabalho remoto de TI para contas norte-coreanas e chinesas.

“As empresas vítimas enviaram laptops endereçados a 'Andrew M.' para as residências de Knoot. Após receber os laptops, e sem autorização, Knoot fazia login nos laptops, baixava e instalava aplicativos de desktop remoto não autorizados, e acessava as redes das empresas vítimas, causando danos aos computadores”, diz um comunicado de imprensa do DOJ.

Os aplicativos de desktop remoto permitiam que os trabalhadores de TI norte-coreanos trabalhassem de locais na China, enquanto parecia para as empresas vítimas que 'Andrew M.' estava trabalhando das residências de Knoot em Nashville.

Os trabalhadores de TI norte-coreanos que usaram a "laptop farm" de Knoot geraram receita para o programa de armas nucleares da Coreia do Norte e cada um foi pago mais de $250.000 pelo seu trabalho entre julho de 2022 e agosto de 2023.

Knoot está enfrentando múltiplas acusações, incluindo fraude eletrônica, dano intencional a computadores protegidos, roubo de identidade agravado e conspiração para causar o emprego ilegal de estrangeiros.

Ele pode ser condenado a um máximo de 20 anos de prisão se for considerado culpado.

Em março de 2024, a Divisão de Segurança Nacional e as Divisões de Ciber e Contrainteligência do FBI lançaram a iniciativa "DPRK RevGen: Domestic Enabler Initiative", que se concentra em identificar e fechar "laptop farms" baseados nos EUA, assim como na acusação de indivíduos que os hospedam.

Knoot é o segundo americano preso e acusado de ajudar os hackers da Coreia do Norte a ganhar emprego em empresas americanas, demonstrando ainda mais como a Coreia do Norte está roubando empregos e fundos de cidadãos comuns.

O Departamento de Justiça dos EUA também prendeu e acusou a mulher do Arizona, Christina Marie Chapman, de operar outra "laptop farm" em sua própria casa para fazer parecer que os dispositivos dos trabalhadores norte-coreanos estavam nos Estados Unidos.

O caso enfatiza o perigo contínuo apresentado pelos atores de ameaças da Coreia do Norte que se passam por pessoal de TI baseado nos EUA, algo sobre o qual o FBI tem alertado desde 2023.

Como a agência de aplicação da lei tem repetidamente alertado, a Coreia do Norte mantém um exército bem organizado de trabalhadores de TI que ocultam suas verdadeiras identidades para garantir emprego em centenas de empresas americanas.

"Com base no volume e escala de atividade que vimos, os trabalhadores de TI norte-coreanos estão difundidos em empresas Fortune 500, usando seus ganhos para incentivar outros a auxiliar suas operações", disse Michael Barnhart, Analista Principal da Mandiant.

Neutralizando estas 'laptop farms' e prendendo os facilitadores, isso representa um golpe significativo em suas operações e desmonta meses e meses de tempo e energia investidos por esses atores de ameaças norte-coreanos.

No mês passado, a empresa americana de cibersegurança KnowBe4 revelou que havia contratado um Engenheiro de Software Principal que se revelou ser um ator malicioso norte-coreano que imediatamente tentou instalar software de roubo de informações nos dispositivos fornecidos pela empresa.

Isso ocorreu mesmo após a KnowBe4 realizar verificações de antecedentes, verificar referências e conduzir quatro entrevistas por vídeo antes de contratar um indivíduo.

No entanto, a empresa mais tarde descobriu que a pessoa havia usado uma identidade roubada para burlar essas verificações e ferramentas de IA para criar um perfil falso e imitar o rosto durante chamadas de vídeo conferência.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...