Secondo documenti legali e ricerche statunitensi condivisi con Reuters, alcuni agenti informatici nordcoreani hanno segretamente costituito due società a responsabilità limitata negli Stati Uniti e le hanno utilizzate per far passare codice dannoso a ingegneri informatici in cerca di lavoro nel mondo delle criptovalute.
Silent Push, un'azienda di sicurezza informatica, afferma che Blocknovas LLC nel New Mexico e Softglide LLC a New York sono state create con nomi inventati e indirizzi presi in prestito in modo che gli hacker potessero apparire come datori di lavoro legittimi mentre inviavano malware ai candidati. Una terza azienda, Angeloper Agency, presentava impronte digitali web dannosedent, ma non figurava in nessun registro aziendale statunitense.
"Si tratta di un raro esempio di hacker nordcoreani che riescono effettivamente a creare entità aziendali legali negli Stati Uniti per creare facciate aziendali utilizzate per attaccare ignari candidati al lavoro", ha dichiarato a Reuters Kasey Best, direttore dell'intelligence sulle minacce di Silent Push.
L'FBI statunitense non ha voluto discutere direttamente delle due società. Tuttavia, giovedì, l'FBI ha pubblicato un avviso di sequestro sul sito web di Blocknovas, affermando che il dominio era stato sequestrato "nell'ambito di un'azione di contrasto contro i cybercriminali nordcoreani che hanno utilizzato questo dominio per ingannare le persone con falsi annunci di lavoro e distribuire malware"
Prima della rimozione, alti funzionari dell'FBI avevano dichiarato che l'agenzia intendeva "imporre rischi e conseguenze non solo agli attori della RPDC, ma anche a chiunque favorisse la loro capacità di condurre questi piani"
le unità di hacking della Corea del Nord "forse una delle minacce persistenti più avanzate" che gli Stati Uniti devono affrontare oggi.
Secondo Silent Push , gli aggressori si sono spacciati per reclutatori e hanno offerto colloqui in cui le vittime dovevano aprire file dannosi.
Blocknovas e Softglide hanno utilizzato annunci di lavoro per far passare malware agli sviluppatori di criptovalute
Una volta lanciati, i file cercavano di raccogliere chiavi di portafoglio di criptovalute, password e altredentche avrebbero potuto in seguito aiutare a entrare negli exchange o nelle aziende tecnologiche.
Il rapporto inedito dell'azienda conferma "vittime multiple", la maggior parte delle quali contattate tramite Blocknovas, che i ricercatori descrivono come "di gran lunga il più attivo" dei tre fronti.
I registri statali mostrano che Blocknovas è stata registrata nel New Mexico il 27 settembre 2023. La sua documentazione riporta un indirizzo postale a Warrenville, nella Carolina del Sud, che Google Maps mostra come un lotto vuoto.
La costituzione di Softglide a New York traca un piccolo ufficio di preparazione delle dichiarazioni dei redditi a Buffalo. Non c'era tracdelle persone i cui nomi compaiono in entrambi i documenti.
I funzionari statunitensi affermano che questo schema si adatta a una più ampia strategia nordcoreana volta ad aumentare la valuta forte. Washington, Seul ed esperti delle Nazioni Unite accusano da tempo Pyongyang di aver rubato criptovalute e di aver inviato migliaia di lavoratori del settore informatico all'estero per finanziare il programma missilistico nucleare del Paese.
Gestire un'azienda controllata dalla Corea del Nord all'interno degli Stati Uniti viola le sanzioni imposte dall'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro. Viola anche le misure del Consiglio di Sicurezza delle Nazioni Unite che vietano attività commerciali a beneficio dello Stato o dell'esercito nordcoreano.
I file di lavoro contenenti malware sono collegati a Lazarus Group
Il Segretario di Stato del New Mexico ha dichiarato in un'e-mail che Blocknovas è stato depositato tramite il sistema online nazionale LLC tramite un agente registrato e che sembrava rispettare le norme statali. "Non ci sarebbe modo che il nostro ufficio venisse a conoscenza del suo collegamento con la Corea del Nord", ha scritto un rappresentante.
Gli investigatori collegano l'attività a un sottogruppo del Lazarus Group, un team di hacker d'élite che risponde al Reconnaissance General Bureau, il principale braccio dell'intelligence estera di Pyongyang.
Silent Push hadentalmeno tre famiglie di malware già note all'interno dei file di lavoro dannosi. Gli strumenti possono estrarre dati dai computer infetti, aprire backdoor per ulteriori intrusioni e scaricare codice di attacco aggiuntivo, una strategia spesso riscontrata nelle precedenti attività di Lazarus.
Per ora, il dominio di Blocknovas è sotto sequestro federale, il sito web di Softglide è offline e le pagine dell'Agenzia Angeloper restituiscono errori. Ma gli investigatori avvertono che nuovi alias potrebbero apparire rapidamente.
"Questa operazione illustra la minaccia in continua evoluzione rappresentata dagli attori informatici della RPDC", ha affermato l'FBI nella sua dichiarazione, esortando i professionisti della tecnologia a esaminare attentamente le offerte di lavoro non richieste e a segnalare qualsiasi contatto sospetto.
