Hackers norte-coreanos se infiltram em empresas americanas para roubar dados e segredos tecnológicos

O Departamento de Justiça dos EUA acusou a Coreia do Norte de infiltrar “milhares” de trabalhadores em empresas de todo o mundo.

A partir de vagas de emprego remotas, estes trabalhadores qualificados norte-coreanos são contratados por empresas nos Estados Unidos usando “identidades roubadas ou emprestadas de cidadãos americanos para se passarem por trabalhadores locais” e recolhem informações para o regime de Kim Jong-un sem levantar suspeitas. As informações são do jornal El País.

Recentemente, a empresa de cibersegurança CrowdStrike, que ganhou notoriedade há um mês e meio por causar uma interrupção global nos sistemas Windows, revelou que um grupo de hackers da Coreia do Norte comprometeu mais de 100 empresas americanas.

A maioria dessas empresas atua no setor de tecnologia e fintech. Esses hackers, contratados como desenvolvedores remotos, instalaram software malicioso para acessar dados confidenciais e obter e lucrar com informações confidenciais.

As ameaças foram identificadas por Adam Meyers, especialista em Ameaças Persistentes Avançadas (APTs) e responsável pela inteligência e operações contra cibercriminosos na CrowdStrike, após relatos de um cliente sobre uma infiltração maliciosa.

Ele alerta que a campanha não se restringe às empresas de tecnologia, mas atinge também os setores aeroespacial e de defesa.

Segundo Meyers, o grupo norte-coreano responsável pela infiltração, denominado Famous Chollima, está organizado, o que permite ataques “complexos, coordenados e rápidos”. Patrocinados pelo governo de Kim Jong-un, também contam com recursos e uma estrutura hierárquica bem definida. O regime nega qualquer ligação com o grupo.

Segundo o El País, o relatório CrowdStrike apontou que Famous Chollima obteve acesso “profundo e duradouro” aos sistemas remotos de dezenas de empresas, que “durante muito tempo foi quase impossível de detectar”.

Em entrevista ao jornal. Mayer afirma: “O Departamento de Justiça estima que estas ações geraram aos atacantes aproximadamente 6,8 milhões de dólares ao longo de dois anos, mas acredito que estamos apenas a arranhar a superfície da extensão desta campanha”.

Segundo ele, os cibercriminosos procuravam dados “que pudessem agregar valor à República Popular Democrática da Coreia, como inteligência comercial sensível e informações proprietárias de diversas empresas de tecnologia”.

O Departamento de Justiça identificou pelo menos 300 empresas afetadas por infiltrações deste tipo nos últimos meses, incluindo mais de uma centena no setor tecnológico detetadas pelo CrowdStrike. Em resposta a esta ameaça crescente, o FBI emitiu um alerta, visando tanto empresas públicas como privadas.

O aviso fornecia orientações para fortalecer a proteção contra tais intrusões e solicitava que os ataques conhecidos fossem relatados.

A dificuldade em identificar a origem dos ataques cibernéticos, que muitas vezes utilizam redes de servidores internacionais para ocultar os seus rastos, facilita as operações de espionagem. A prática é utilizada por países, que financiam grupos de hackers para realizar ações disfarçadas, evitando assim problemas diplomáticos.

A Coreia do Norte se destaca por utilizar seus hackers para gerar receitas através do roubo de criptomoedas, dado o isolamento do regime pelas sanções internacionais. Recentemente, o grupo Citrine Sleet explorou uma vulnerabilidade no navegador Chromium para roubar criptomoedas.

O maior roubo digital conhecido foi perpetrado pelo grupo Lazarus, do qual surgiu Famous Chollima, que arrecadou cerca de mil milhões de euros em dois anos.

Um relatório do Conselho de Segurança das Nações Unidas estima que os norte-coreanos roubaram cerca de US$ 3 bilhões em criptomoedas desde 2017.

Desde que assumiu o poder em 2009, Kim Jong-un tem incentivado a utilização do ciberespaço para beneficiar o regime, segundo a jornalista Anna Fifield, autora de O Grande Sucessor (2021).

Lazarus, incluindo suas facções Stardust Chollima e Labyrinth Chollima, concentra-se na monetização, enquanto Famous Chollima está envolvido com o sistema de armas norte-coreano.

Outra prática comum entre os hackers norte-coreanos é tentar acessar os computadores de colegas estrangeiros para se atualizarem sobre as últimas tendências em segurança cibernética.

O hacker americano Alejandro Cáceres, conhecido como P4x ou _hyp3ri0n, foi vítima de uma tentativa de invasão em 2021. Em retaliação, ele respondeu derrubando a internet em toda a Coreia do Norte por uma semana. “Eu sabia que o que fiz era ilegal, mas não imaginava que a Coreia do Norte me iria processar”, disse ao El País.