Encaminhar o Título Original 'Paradigm: Revelando a Ameaça do Grupo de Hackers Norte-Coreano Lazarus Group'

Uma discussão sobre o Grupo Lazarus, o culpado por trás do hack da Bybit, da perspectiva da estrutura organizacional, métodos de ataque e estratégias de defesa.

Em uma manhã de fevereiro, as luzes se acenderam no chat em grupo SEAL 911. Ficamos olhando confusos enquanto a Bybit transferia mais de $1 bilhão em tokens de sua carteira fria para um novo endereço e logo começava a liquidar mais de $200 milhões em LST. Em questão de minutos, por meio da comunicação com a equipe da Bybit e análise independente (envolvendo multisig e uma implementação de Carteira Segura previamente verificada, agora substituída por um contrato recém-implementado e não verificado), confirmamos que não se tratava de uma manutenção de rotina. Alguém acabara de lançar um dos maiores hacks da história das criptomoedas — e estávamos na primeira fila.

Enquanto parte da equipe (junto com a comunidade investigativa mais ampla) começou a rastrear os fundos e notificar as exchanges parceiras, outros tentaram descobrir o que exatamente havia acontecido — e se fundos adicionais estavam em risco. Felizmente, identificar o perpetrador foi fácil. Ao longo dos últimos anos, apenas um conhecido ator de ameaças conseguiu roubar bilhões de exchanges de criptomoedas: Coreia do Norte, também conhecida como a DPRK.

No entanto, além disso, tínhamos pouco para avançar. Devido à natureza astuta e habilidades excepcionais de obfuscação dos hackers norte-coreanos, determinar a causa raiz da violação - muito menos qual equipe específica dentro da Coreia do Norte era responsável - era extremamente difícil. Tudo o que tínhamos eram informações existentes sugerindo que os operadores da DPRK frequentemente dependem de táticas de engenharia social para infiltrar em bolsas de criptomoedas. Com base nisso, presumimos que eles haviam comprometido os signatários multisig da Bybit e implantado malware para interferir no processo de assinatura.

Como se viu, essa suposição estava completamente errada. Alguns dias depois, descobrimos que a Coreia do Norte havia comprometido a infraestrutura da Carteira Segura em si e implantado uma sobrecarga maliciosa personalizada especificamente direcionada à Bybit. A complexidade desse ataque estava além do que qualquer um tinha antecipado ou se preparado, representando um desafio sério para muitos modelos de segurança existentes no mercado.

Hackers norte-coreanos representam uma ameaça crescente para a nossa indústria. Não podemos derrotar um inimigo que não compreendemos. Embora haja muitos incidentes documentados e artigos sobre as operações cibernéticas norte-coreanas, é difícil juntar todas as peças. Espero que esta visão geral possa ajudar a fornecer uma imagem mais clara de como a Coreia do Norte opera, suas estratégias e procedimentos, e, em última análise, nos ajudar a implementar as medidas certas de mitigação.

Estrutura Organizacional

Um dos maiores equívocos que precisam ser abordados é como classificar e nomear as extensas atividades cibernéticas da Coreia do Norte. Embora seja aceitável usar o termo "Grupo Lazarus" coloquialmente como rótulo geral, uma terminologia mais precisa é útil ao discutir a ameaça cibernética sistêmica representada pela Coreia do Norte em detalhes.

Primeiro, ajuda a entender o “organograma” da Coreia do Norte. No topo está o partido político dominante — e único —, o Partido dos Trabalhadores da Coreia (PTC), que supervisiona todas as instituições estatais. Isso inclui o Exército Popular da Coreia (EPC) e o Comitê Central. Dentro do EPC existe o Departamento do Estado-Maior Geral (GSG), onde está localizado o Bureau Geral de Reconhecimento (BGR). Sob o Comitê Central está o Departamento da Indústria de Munições (DIM).

O RGB é responsável por quase todas as operações cibernéticas da Coreia do Norte, incluindo quase toda a atividade observada na indústria de criptomoedas. Além do infame Grupo Lazarus, outros atores ameaçadores que têm origem no RGB incluem AppleJeus, APT38, DangerousPassword e TraderTraitor. Por outro lado, o MID supervisiona o programa de mísseis nucleares da Coreia do Norte e é a principal fonte de trabalhadores de TI do país no exterior. A comunidade de inteligência identifica esses atores como Entrevista Contagiosa e Wagemole.

Grupo Lazarus

O Grupo Lazarus é uma organização de hackers altamente sofisticada. Especialistas em cibersegurança acreditam que alguns dos maiores e mais destrutivos ciberataques da história foram realizados por este grupo. Em 2016, a Novetta identificou o Grupo Lazarus enquanto analisava o hack da Sony Pictures Entertainment.

Em 2014, a Sony estava produzindo a ação-comédia The Interview, cujo enredo central envolvia a humilhação e eventual assassinato de Kim Jong-un. Compreensivelmente, isso não foi bem recebido pelo regime norte-coreano, que retaliou invadindo a rede da Sony, roubando vários terabytes de dados, vazando centenas de gigabytes de informações confidenciais ou sensíveis e deletando os originais. Como o então CEO Michael Lynton disse: 'As pessoas que fizeram isso não apenas roubaram tudo na casa - eles queimaram a casa'. A Sony acabou gastando pelo menos US$ 15 milhões em investigação e remediação relacionadas ao ataque, e o dano real pode ter sido ainda maior.

Em 2016, um grupo de hackers com semelhanças marcantes com o Grupo Lazarus infiltrou o Banco de Bangladesh na tentativa de roubar quase $1 bilhão. Ao longo de um ano, os hackers realizaram ataques de engenharia social aos funcionários do banco, eventualmente obtendo acesso remoto e se movendo lateralmente na rede até chegarem ao computador que se comunicava com o sistema SWIFT. A partir daí, eles esperaram a oportunidade perfeita: Bangladesh observa seu final de semana na quinta-feira, enquanto o Federal Reserve de Nova York folga na sexta-feira. Na noite de quinta-feira, horário local, os atacantes usaram seu acesso ao SWIFT para enviar 36 pedidos de transferência separados para o Fed de Nova York - cedo na manhã de sexta-feira, horário local. Ao longo das próximas 24 horas, o Fed encaminhou as transferências para o Rizal Commercial Banking Corporation (RCBC) nas Filipinas, que começou a processá-las. Quando o Banco de Bangladesh reabriu, descobriu a violação e tentou entrar em contato com o RCBC para interromper as transações, apenas para descobrir que o banco havia fechado para o feriado do Ano Novo Lunar.

Então, em 2017, o amplo ataque de ransomware WannaCry 2.0 devastou indústrias em todo o mundo, com uma atribuição parcial ao Grupo Lazarus. Estima-se que tenha causado bilhões em perdas, o WannaCry explorou uma vulnerabilidade de dia zero do Microsoft Windows originalmente desenvolvida pela NSA. Ele criptografou máquinas locais e se propagou por dispositivos acessíveis, infectando, em última instância, centenas de milhares de sistemas em todo o mundo. Felizmente, o pesquisador de segurança Marcus Hutchins descobriu e acionou um interruptor de desligamento em oito horas, limitando a escala dos danos.

Ao longo de sua história, o Grupo Lazarus demonstrou notável capacidade técnica e eficácia operacional. Um de seus principais objetivos é gerar receita para o regime norte-coreano. Era apenas uma questão de tempo antes de voltarem sua atenção para a indústria de criptomoedas.

Lazarus Spin-Offs e Ameaças Emergentes

Com o tempo, à medida que o Lazarus Group se tornou um termo comum comumente usado pela mídia para descrever as atividades cibernéticas da Coreia do Norte, a indústria de segurança cibernética começou a desenvolver nomes mais precisos para o Lazarus Group e operações específicas ligadas à Coreia do Norte. APT38 é um desses exemplos. Por volta de 2016, separou-se do Lazarus Group para se concentrar especificamente em crimes financeiros – inicialmente visando bancos (como o Bangladesh Bank) e, mais tarde, criptomoedas. Em 2018, uma nova ameaça conhecida como AppleJeus foi descoberta distribuindo malware visando usuários de criptomoedas. Também em 2018, quando o OFAC anunciou pela primeira vez sanções contra duas empresas de fachada usadas por norte-coreanos, já era evidente que agentes norte-coreanos se passando por trabalhadores de TI haviam se infiltrado na indústria de tecnologia.

Trabalhadores de TI norte-coreanos

Embora a menção mais antiga registrada dos trabalhadores de TI norte-coreanos remonta às sanções OFAC de 2018, o relatório de 2023 da Unidade 42 forneceu um relato mais detalhado e identificou dois atores de ameaças distintos: Entrevista Contagiosa e Wagemole.

A Contagious Interview é conhecida por se fazer passar por recrutadores de empresas conhecidas para atrair desenvolvedores para processos de entrevistas falsas. Os candidatos em potencial são instruídos a clonar um repositório para depuração local - enquadrado como parte de um desafio de codificação - mas o repositório contém uma porta dos fundos. A execução do código dá aos atacantes controle sobre a máquina afetada. Esta atividade está em andamento, com o incidente mais recente registrado em 11 de agosto de 2024.

Wagemole, por outro lado, não atrai vítimas - elas são contratadas por empresas reais, misturando-se como engenheiros comuns, embora muitas vezes menos produtivas. Dito isso, existem instâncias documentadas de trabalhadores de TI usando seu acesso para propósitos maliciosos. No incidente Munchables, um funcionário ligado às operações norte-coreanas explorou o acesso privilegiado aos contratos inteligentes e roubou todos os ativos.

O nível de sofisticação entre os agentes da Wagemole varia amplamente. Alguns usam modelos genéricos de currículo e recusam chamadas de vídeo, enquanto outros enviam currículos personalizados, participam de entrevistas de vídeo deepfake e fornecem identidades falsas como carteiras de motorista e contas de serviços públicos. Em alguns casos, os agentes permaneceram dentro das organizações vítimas por até um ano antes de alavancar seu acesso para infiltrar outros sistemas e/ou sacar completamente.

AppleJeus

AppleJeus foca principalmente na distribuição de malware e é hábil na execução de ataques complexos à cadeia de suprimentos. Em 2023, o ataque à cadeia de suprimentos 3CX permitiu que atores de ameaças potencialmente infectassem mais de 12 milhões de usuários do software VoIP 3CX. Mais tarde, descobriu-se que o 3CX em si tinha sido afetado por um ataque à cadeia de suprimentos em um de seus fornecedores upstream—Trading Technologies 13.

Na indústria de criptomoedas, a AppleJeus inicialmente espalhou malware disfarçado de software legítimo, como plataformas de negociação ou carteiras de criptomoedas. No entanto, ao longo do tempo, suas táticas evoluíram. Em outubro de 2024, a Radiant Capital foi comprometida por um ator ameaçador que se passava por um contratado de confiança e entregava malware via Telegram. A Mandiant atribuiu esse ataque à AppleJeus.

Senha Perigosa

A Senha Perigosa é responsável por ataques de engenharia social de baixa complexidade direcionados à indústria de criptomoedas. Já em 2019, a JPCERT/CC documentou que a Senha Perigosa estava enviando e-mails de phishing contendo anexos tentadores para os usuários baixarem. Nos últimos anos, a Senha Perigosa tem se passado por figuras conhecidas no espaço cripto para enviar e-mails de phishing com assuntos como 'Grandes Riscos em Stablecoins e Ativos Cripto'.

Hoje, a Senha Perigosa continua a enviar e-mails de phishing, mas expandiu suas atividades para outras plataformas. Por exemplo, a Radiant Capital relatou ter recebido uma mensagem de phishing via Telegram de alguém se passando por um pesquisador de segurança. A mensagem incluía um arquivo chamado "Penpie_Hacking_Analysis_Report.zip". Além disso, os usuários relataram ter sido contatados por indivíduos se passando por jornalistas ou investidores que pedem para agendar uma ligação usando aplicativos obscuros de videoconferência. Assim como o Zoom, esses aplicativos solicitam que os usuários baixem um instalador único, mas, após a execução, eles instalam malware no dispositivo do usuário.

TraderTraitor

O TraderTraitor é o grupo de hackers norte-coreano mais sofisticado que visa a indústria de criptomoedas e tem sido associado a ataques a plataformas como Axie Infinity e Rain.com. O TraderTraitor visa quase exclusivamente bolsas e empresas com grandes reservas e não usa vulnerabilidades de dia zero. Em vez disso, emprega técnicas altamente sofisticadas de spear-phishing para comprometer suas vítimas. Na violação do Axie Infinity, a TraderTraitor entrou em contato com um engenheiro sênior via LinkedIn e os convenceu com sucesso a passar por uma série de entrevistas, enviando uma "oferta de emprego" que entregava a carga de malware. No ataque WazirX, os agentes da TraderTraitor comprometeram um componente não identificado no pipeline de assinatura de transações. Eles então drenaram a carteira quente da exchange depositando e retirando fundos repetidamente, levando os engenheiros a se reequilibrar da carteira fria. Quando os engenheiros do WazirX tentaram assinar uma transação para transferir os fundos, eles foram enganados para autorizar uma transação que entregou o controle da carteira fria para a TraderTraitor. Isso é muito semelhante ao ataque de fevereiro de 2025 à Bybit, no qual o TraderTraitor primeiro comprometeu a infraestrutura Safe{Wallet} por meio de engenharia social, depois implantou JavaScript malicioso no frontend da Safe Wallet especificamente usado pela carteira fria da Bybit. Quando a Bybit tentou reequilibrar sua carteira, o código malicioso foi acionado, fazendo com que os engenheiros da Bybit assinassem, sem saber, uma transação que transferiu o controle da carteira fria para o TraderTraitor.

Permanecendo Seguro

A Coreia do Norte demonstrou a capacidade de implantar vulnerabilidades zero-day contra adversários, mas até agora, não há incidentes registrados ou conhecidos de zero-days sendo usados contra a indústria de criptomoedas. Portanto, os conselhos de segurança padrão se aplicam a quase todas as ameaças impostas pelos hackers norte-coreanos.

Para indivíduos, o bom senso e a vigilância contra a engenharia social são fundamentais. Por exemplo, se alguém afirmar possuir informações altamente confidenciais e oferecer para compartilhá-las com você, proceda com cautela. Ou se alguém aplicar pressão temporal e instigar você a baixar e executar software, considere se estão tentando impedir que você pense racionalmente.

Para as organizações, aplique o princípio do menor privilégio sempre que possível. Minimize o número de pessoas com acesso a sistemas sensíveis e certifique-se de que elas usem gerenciadores de senhas e autenticação de dois fatores (2FA). Mantenha dispositivos pessoais e de trabalho separados e instale ferramentas de Gerenciamento de Dispositivos Móveis (MDM) e Detecção e Resposta de Endpoint (EDR) nas máquinas de trabalho para manter tanto a segurança pré-incidente quanto a visibilidade pós-incidente.

Infelizmente, para grandes bolsas de valores ou outros alvos de alto valor, TraderTraitor ainda pode causar mais danos do que o esperado, mesmo sem usar zero-days. Portanto, precauções adicionais devem ser tomadas para eliminar pontos únicos de falha - para que uma única comprometimento não resulte em perda financeira completa.

Ainda assim, mesmo que tudo falhe, há esperança. O FBI tem uma equipe dedicada rastreando e prevenindo intrusões norte-coreanas e tem notificado ativamente as vítimas há anos. Fiquei recentemente feliz em ajudar essa equipe a se conectar com potenciais alvos norte-coreanos. Portanto, para se preparar para o pior, certifique-se de ter informações de contato publicamente disponíveis ou manter relacionamentos sólidos em todo o ecossistema (por exemplo, SEAL 911) para que alertas críticos possam alcançá-lo o mais rápido possível por meio do gráfico social.

Aviso Legal:

1. Este artigo é reproduzido a partir de [GateForesightNews]. Encaminhar o Título Original 'Paradigma: Revelando a Ameaça do Grupo de Hackers Norte-Coreano Lazarus Group'. Todos os direitos autorais pertencem ao autor original [Gatesamczsun, Parceiro de Pesquisa na Paradigm]. Se houver alguma objeção a esta reimpressão, entre em contato com oGate Learnequipe e eles lidarão com isso prontamente de acordo com os procedimentos relevantes.

2. Aviso Legal: As opiniões expressas neste artigo representam apenas as opiniões pessoais do autor e não constituem qualquer conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Sem mencionarGate.io, é proibido copiar, distribuir ou plagiar as versões traduzidas.