Um comitê da Organização das Nações Unidas (ONU) anunciou que está investigando 58 ataques cibernéticos supostamente realizados por hackers da Coreia do Norte, o que rendeu cerca de US$ 3 bilhões em criptomoedas num período de seis anos.
Em um relatório publicado em 7 de março, os especialistas da ONU afirmaram que rastrearam a atividade de "operadores de ameaças cibernéticas ligados ao Reconnaissance General Bureau (RGB), o principal serviço de inteligência da Coreia do Norte, responsável por operações de coleta e clandestinas".
Entre esses operadores estão os grupos Kimsuky, Lazarus, Andariel e BlueNoroff, concentrando-se principalmente no período entre 2017 e 2023.
“A principal missão desses operadores de ameaças cibernéticas é coletar informações para o governo norte-coreano e gerar receitas ilegais para o país”, disseram os especialistas, reiterando acusações do governo dos EUA e de outras autoridades internacionais de que o dinheiro obtido nesses ataques cibernéticos é usado para financiar os programas nuclear e de mísseis do ditador Kim Jong-un.
A propriedade intelectual roubada também ajuda o regime a fazer avanços tecnológicos e pode ser vendida, afirma o relatório.
"As técnicas de ataque continuam envolvendo spearphishing, exploração de vulnerabilidades, engenharia social e watering hole [ou a caça à vítima no bebedouro]”, disseram os especialistas.
O comitê está atualmente investigando 17 invasões de criptomoedas apenas em 2023, com o valor roubado girando em torno de US$ 750 milhões.
Os grupos também continuam a visar empresas de defesa e cadeias de fornecimento de software e cada vez mais compartilham instalações e ferramentas, de acordo os especialistas.
O comitê citou centenas de relatórios de várias empresas de pesquisa e de segurança cibernética que acompanham ataques realizados por diversos grupos governamentais e militares da Coreia do Norte.
Os grupos visavam engenheiros nucleares e empresas que criam sistemas de radar, veículos aéreos não tripulados, veículos militares, navios, empresas de armas, marítimas — algumas das quais estavam na Espanha, nos Países Baixos, na Polônia e até na Rússia.
A Rússia negou ou se recusou a comentar quando perguntada pelo comitê sobre vários incidentes supostamente iniciados por grupos norte-coreanos.
O comitê observou que organizações chinesas também sofreram uma série de ataques de grupos norte-coreanos.
O relatório descreve dezenas de diferentes táticas de engenharia social usadas pelos grupos de hackers, desde se passar por recrutadores falsos no LinkedIn até manipular candidatos a emprego no Telegram e no WhatsApp.
Os hackers também atacaram repetidamente empresas e organizações governamentais da Coreia do Sul, roubando uma grande quantidade de dados de defesa da marinha do país, empresas de TI, universidades, entre outras.
Ataques à cadeia de fornecimento envolvendo fabricantes de software como JumpCloud, JetBrains e CyberLink também foram realçados no relatório, com os pesquisadores descobrindo que os ataques JumpCloud permitiram que hackers da Coreia do Norte realizassem dois roubos de criptomoedas que renderam cerca de US$ 147,5 milhões.
O relatório também investiga a confusa rede de grupos identificados e vinculados à Coreia do Norte por empresas de segurança cibernética e governos.
O painel concluiu que há uma “sobreposição crescente” entre os grupos envolvidos nos ataques.
Os grupos indicados — como Andariel, Kimsuky, BlueNoroff, ScarCruft e Lazarus — estão sediados em diferentes agências na Coreia do Norte, mas costumam realizar operações conjuntas e compartilham infraestruturas.
“Os ciberoperadores da República Popular Democrática da Coreia [RPDC], provavelmente o Kimsuky, foram responsáveis por atingir o endereço de email privado de um membro do comitê da ONU por meio de ataques repetidos de spearphishing”, disseram os especialistas.
Grupos da Coreia do Norte também participaram em ataques de ransomware, com hackers ligados a Andariel roubando o equivalente a US$ 360 mil em Bitcoin (BTC) em ataques de ransomware a três empresas.
“Os integrantes do grupo Lazarus colaboraram com uma empresa da Coreia do Norte para distribuir ransomware e arrecadaram cerca de US$ 2,6 milhões em custos de recuperação de mais de 700 vítimas”, acrescentou o comitê.
“Parte dos fundos foi transferida para uma carteira de criptomoedas pertencente ao grupo Lazarus.”
O relatório inclui uma série de recomendações para os membros da ONU, incluindo a melhoria da segurança cibernética para as instituições financeiras e a imposição de mais sanções contra determinados grupos de hackers.
Os estados também precisam encontrar maneiras de limitar os métodos usados pelos atores norte-coreanos para lavar os fundos roubados, afirmou o comitê.
A empresa de segurança Blockchain Elliptic acompanha de perto as atividades norte-coreanas e recentemente atualizou um relatório sobre os esforços do grupo Lazarus para lavar dinheiro através do Tornado Cash, um dos principais serviços de mixing de criptomoedas do mundo, do qual o grupo se afastou temporariamente por causa das sanções dos EUA.
Os hackers retornaram e estão lavando grandes quantias de dinheiro, disse Tom Robinson, um dos cofundadores da Elliptic, à Recorded Future News na semana passada.
“A quantia de dinheiro lavada através do Tornado Cash deste ataque atribuído ao Lazarus chegou agora a US$ 100 milhões”, completou.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...