O Federal Bureau of Investigation (FBI) divulgou um comunicado afirmando que a Coreia do Norte tem atacado agressivamente empresas e negócios de criptomoedas com táticas sofisticadas de engenharia social para então implantar malware e roubar fundos.
De acordo com a agência, as forças cibernéticas norte-coreanas têm pesquisado fundos negociados em bolsa (ETFs) de criptomoedas nos últimos meses, possivelmente se preparando para ataques cibernéticos a empresas vinculadas a ETFs ou outros produtos financeiros de criptomoedas. Esses grupos, patrocinados pelos estados, são conhecidos como atores de ameaças no Internet Crime Complaint Center (IC3) do FBI.
FBI desconfia de ataques criptográficos da Coreia do Norte
O FBI consultivo divulgado na terça-feira (3 de setembro) diz que mesmo aqueles com perspicácia técnica podem ser vítimas de agentes de ameaças que trabalham em nome da Coreia do Norte.
O aviso afirma: “Os esquemas de engenharia social da Coreia do Norte são complexos e elaborados, frequentemente comprometendo vítimas com perspicácia técnica sofisticada. Dada a escala e a persistência dessa atividade maliciosa, mesmo aqueles bem versados em práticas de segurança cibernética podem ser vulneráveis à determinação da Coreia do Norte de comprometer redes conectadas a ativos de criptomoeda.”
A Coreia do Norte liderou vários ataques cibernéticos no ano passado que tiveram como alvo a infraestrutura digital americana e internacional, com um foco renovado na criptomoeda. O IC3 lançou um análise abrangente de alguns processos empregados por esses agentes de ameaças ao implantar software malicioso.
Essas entidades trabalham usando três estratégias-chave delineadas no aviso do FBI: pesquisa pré-operacional extensiva, cenários falsos individualizados e imitações. Isso pode ser visto na atividade de grupos de hackers bem conhecidos da Coreia do Norte, como o Lazarus.
A pesquisa pré-operacional inclui os atores da ameaça destacando empresas para alvejar e imitando seus funcionários para obter acesso à rede da empresa. Eles escaneiam redes sociais e profissionais para esses funcionários alvo antes de tentar obter acesso ao funcionamento interno da empresa.
Os cenários falsos individualizados incluem agentes de ameaças se passando por possíveis empregadores ou investidores no setor de criptomoedas e que tentam criar um relatório com as vítimas antes de implantar malware.
Essa atividade está diretamente ligada ao aviso do FBI sobre Impersonations, que também tenta clonar ou esconder suas atividades sob falsos pretextos. O aviso destaca: “Os atores geralmente se comunicam com as vítimas em inglês fluente ou quase fluente e são bem versados nos aspectos técnicos do campo da criptomoeda.”
Como identificar tentativas de engenharia social
O FBI identificou os seguintes indicadores que podem sinalizar atos maliciosos ou impedir um ataque direcionado por agentes de ameaças norte-coreanos, denominado atividade de engenharia social:
- Solicitações para executar código ou baixar aplicativos em dispositivos de propriedade da empresa ou outros dispositivos com acesso à rede interna da empresa.
- Solicitações para conduzir um “teste de pré-emprego” ou exercício de depuração que envolva a execução de pacotes Node.js não padronizados ou desconhecidos, pacotes PyPI, scripts ou repositórios GitHub.
- Ofertas de emprego de empresas importantes de criptomoeda ou tecnologia que sejam inesperadas ou envolvam remunerações irrealisticamente altas sem negociação.
- Ofertas de investimento de empresas ou indivíduos importantes que não foram solicitadas ou que não foram propostas ou discutidas anteriormente.
- Insistência em usar software não padronizado ou personalizado para concluir tarefas simples facilmente realizáveis por meio do uso de aplicativos comuns (por exemplo, videoconferência ou conexão a um servidor).
- Solicitações para executar um script para habilitar funcionalidades de chamada ou videoconferência supostamente bloqueadas devido à localização da vítima.
- Solicitações para mover conversas profissionais para outras plataformas de mensagens ou aplicativos.
- Contatos não solicitados que contêm links ou anexos inesperados.
Imagem: Pixlr.