Espiões cibernéticos norte-coreanos criaram duas empresas nos Estados Unidos, violando sanções do Tesouro norte-americano, para infectar com software malicioso as máquinas de desenvolvedores que trabalham no setor de criptomoedas, de acordo com pesquisadores de segurança e documentos analisados pela Reuters.
As empresas Blocknovas e Softglide foram criadas nos estados do Novo México e de Nova York por meio do uso de identidades e endereços falsos, disseram à Reuters pesquisadores da Silent Push, uma empresa norte-americana de segurança cibernética. Uma terceira empresa, a Angeloper Agency, está vinculada à iniciativa, mas não parece estar registrada nos Estados Unidos.
“Este é um raro exemplo de hackers norte-coreanos conseguindo, de fato, estabelecer entidades corporativas legais nos EUA para criar frentes empresariais usadas para atacar candidatos a emprego desavisados”, disse Kasey Best, diretor de inteligência de ameaças da Silent Push.
Os hackers fazem parte de um subgrupo dentro do Lazarus Group, uma equipe de elite de hackers norte-coreanos ligada ao Reconnaissance General Bureau, a principal agência de inteligência estrangeira de Pyongyang, disse a Silent Push.
O FBI se recusou a comentar especificamente sobre o Blocknovas ou o Softglide. Mas, nesta quinta-feira (24), um aviso do FBI publicado no site do Blocknovas afirmava que o domínio havia sido apreendido “como parte de uma ação policial contra cibercriminosos norte-coreanos que utilizavam este domínio para enganar indivíduos com anúncios de emprego falsos e distribuir malware”.
Antes da apreensão, autoridades do FBI disseram à Reuters que o departamento continua “a se concentrar em impor riscos e consequências, não apenas aos próprios atores da RPDC (Coreia do Norte), mas a qualquer um que esteja facilitando sua capacidade de conduzir esses esquemas”.
Um funcionário do FBI disse que as operações cibernéticas norte-coreanas são “talvez uma das ameaças persistentes mais avançadas” enfrentadas pelos EUA.
A missão da Coreia do Norte nas Nações Unidas em Nova York não respondeu imediatamente a um pedido de comentário.
“Esses ataques utilizam personas falsas oferecendo entrevistas de emprego, o que leva à implantação de malware sofisticado para comprometer as carteiras de criptomoedas dos desenvolvedores. Eles também têm como alvo as senhas e credenciais dos desenvolvedores, que podem ser usadas para ataques posteriores a empresas legítimas”, disse Best.
A Silent Push conseguiu confirmar diversas vítimas, “especificamente por meio da Blocknovas, que é de longe a mais ativa das três empresas de fachada”, disseram os pesquisadores em um relatório compartilhado com a Reuters antes da publicação.
SANÇÕES
A Reuters analisou os documentos da Blocknovas e da Softglide registrados no Novo México e em Nova York, respectivamente. A agência não conseguiu localizar as pessoas nomeadas nos documentos.
O registro da Blocknovas listava um endereço físico em Warrenville, Carolina do Sul, que aparece no Google Maps como um terreno baldio. Já a Softglide parece ter sido registrada por um pequeno escritório de contabilidade em Buffalo, Nova York.
A atividade representa a evolução contínua nos esforços da Coreia do Norte para atingir os setores de criptomoedas, em uma tentativa de captar recursos para o governo norte-coreano.
Além de roubar moeda estrangeira por meio de hacks, a Coreia do Norte enviou milhares de profissionais de TI ao exterior para trazer milhões para financiar o programa de mísseis nucleares de Pyongyang, de acordo com os Estados Unidos, a Coreia do Sul e as Nações Unidas.
A presença de uma empresa controlada pela Coreia do Norte nos Estados Unidos constitui uma violação das sanções do Escritório de Controle de Ativos Estrangeiros (Ofac, na sigla em inglês). O Ofac faz parte do Departamento do Tesouro. A presença também viola as sanções das Nações Unidas que proíbem atividades comerciais norte-coreanas destinadas a auxiliar o governo ou as forças armadas do país.
O Departamento de Estado de Nova York informou à Reuters que não comenta sobre empresas registradas no estado. O gabinete do secretário de Estado do Novo México informou à Reuters, por e-mail nesta quinta-feira, que a empresa estava registrada no sistema online de LLCs Domésticas do estado. “O registro foi feito em conformidade com a lei estadual, utilizando um agente registrado, e não haveria como nosso escritório saber de sua conexão com a Coreia do Norte”, disse um representante do escritório.
Os hackers buscavam infectar candidatos a empregos falsos com pelo menos três tipos de malware conhecidos, vinculados a operações cibernéticas da Coreia do Norte. O malware vinculado à campanha da Silent Push pode ser usado para roubar informações, facilitar o acesso a redes e carregar outras formas de malware.