Como os hackers norte-coreanos usaram o LinkedIn e a engenharia social para roubar US$ 3,4 bilhões em criptomoedas?

Autor: Eric Johansson e Tyler Pearson, DL News

Compilado por: Félix, PANews

Hackers norte-coreanos roubaram pelo menos US$ 3,4 bilhões em criptomoedas, em parte por meio de ataques ao LinkedIn.

A cifra de US$ 3,4 bilhões é o valor total de ataques de hackers relacionados ao Grupo Lazarus da Coreia do Norte desde 2007, incluindo o ataque de 2022 à Horizon, a ponte de cadeia cruzada de ativos entre Ethereum e Harmony, com uma perda de aproximadamente US$ 100 milhões. O roubo de carteira Atomic em 2023 no valor de mais de US$ 35 milhões e o ataque de ransomware WannaCry em 2017.

“O Grupo Lazarus tem sido uma importante fonte de receita para o regime norte-coreano”, disse Hugh Brooks, diretor de operações de segurança da empresa blockchain CertiK.

O que talvez seja menos conhecido é como os hackers usam plataformas de recrutamento como o LinkedIn para realizar engenharia social* (Nota: Engenharia social refere-se a um tipo de intrusão que não é puramente tecnologia informática. Baseia-se principalmente na interação e comunicação entre humanos e, geralmente, Envolve e utiliza o engano de terceiros para subverter processos normais de segurança para atingir os objetivos do invasor, que podem incluir a obtenção de informações específicas que o invasor deseja)* e ataques de phishing.

A “Operação In(ter)ception” lançada por gangues cibercriminosas em 2019 é um exemplo vívido.

De acordo com a empresa de segurança cibernética ESET, o Grupo Lazarus tem como alvo empresas militares e aeroespaciais na Europa e no Médio Oriente, publicando anúncios de emprego no LinkedIn e outras plataformas para enganar os candidatos a emprego, exigindo que os candidatos baixem PDFs com ficheiros executáveis incorporados.

Tanto a engenharia social como os ataques de phishing tentam usar a manipulação psicológica para induzir as vítimas a baixarem a guarda e a envolverem-se em comportamentos que comprometem a segurança, como clicar num link ou descarregar um ficheiro. Seu malware permite que hackers visem vulnerabilidades nos sistemas das vítimas e roubem informações confidenciais.

O Lazarus Group usou métodos semelhantes durante uma operação de seis meses contra o provedor de pagamentos de criptomoedas CoinsPaid, que resultou no roubo de US$ 37 milhões em 22 de julho deste ano.

A CoinsPaid divulgou que em março deste ano, os engenheiros da CoinsPaid receberam uma lista de perguntas sobre infraestrutura técnica de uma chamada “startup de processamento de criptografia ucraniana”. Em junho e julho, engenheiros receberam falsas ofertas de emprego. Em 22 de julho, um funcionário pensou que estava sendo entrevistado para um emprego lucrativo e baixou o malware como parte de um chamado teste técnico.

Anteriormente, o grupo de hackers passou 6 meses aprendendo sobre o CoinsPaid, incluindo todos os detalhes possíveis, como membros da equipe e a estrutura da empresa. Quando o funcionário baixou o código malicioso, o hacker conseguiu acessar os sistemas da CoinsPaid e então explorar a vulnerabilidade do software para forjar com sucesso solicitações de autorização e retirar fundos da carteira quente da CoinsPaid.

Durante o ataque, os hackers lançaram ataques técnicos, como negação de serviço distribuída* (Observação: o ataque de negação de serviço distribuída é conhecido como DDoS. Esta forma de ataque de rede tenta inundar um site ou recursos de rede com tráfego malicioso, fazendo com que o site ou recursos de rede se tornem inoperáveis. Operação normal. Em um ataque distribuído de negação de serviço (DDoS), o invasor envia grandes quantidades de tráfego da Internet que não é realmente necessário, esgotando os recursos do alvo e fazendo com que o tráfego normal não alcance o destino pretendido. destino)*, e um tipo de ataque conhecido como estratégia de força bruta - envie sua senha várias vezes na esperança de eventualmente adivinhá-la corretamente.

O grupo também é conhecido por explorar ataques de dia zero* (Observação: vulnerabilidades de dia zero ou vulnerabilidades de dia zero geralmente se referem a vulnerabilidades de segurança que ainda não foram corrigidas, enquanto ataques de dia zero ou de dia zero referem-se a ataques que exploram tais vulnerabilidades. Forneça isto Os detalhes da vulnerabilidade ou a pessoa que explora o programa geralmente são os descobridores da vulnerabilidade. O programa de exploração de vulnerabilidades de dia zero representa uma enorme ameaça à segurança da rede. Portanto, as vulnerabilidades de dia zero não são apenas o favorito dos hackers, mas também o número de vulnerabilidades de dia zero dominadas tornou-se um fator na avaliação do nível técnico dos hackers. um parâmetro importante)* e implantar malware para roubar fundos, realizar espionagem e sabotagem geral.

Em 2019, o Departamento do Tesouro dos EUA sancionou o Grupo Lazarus, ligando-o oficialmente a espiões do Serviço de Reconhecimento da Coreia do Norte. O Departamento do Tesouro dos EUA também acredita que o grupo financia programas de armas nucleares de estados terroristas.

Leitura Relacionada: “Hacker norte-coreano” entrevista engenheiro de blockchain: “O mundo verá ótimos resultados em minhas mãos”