Gli agenti cyber nordcoreani hanno formalmente costituito due società a responsabilità limitata negli Stati Uniti e le hanno utilizzate per far scivolare il codice dannoso agli ingegneri del software in cerca di lavoro nel mondo delle criptovalute, secondo i documenti legali statunitensi e la ricerca condivisa con Reuters.
Silent Push, una società di sicurezza informatica, afferma che Blocknovas LLC nel New Mexico e Softglide LLC a New York sono stati costruiti con nomi inventati e indirizzi in affitto in modo che gli hacker possano apparire come datori di lavoro legittimi mentre inviavano malware ai candidati. Una terza azienda, Angeloper Agency, portava indentle impronte digitali maliziose ma non apparve in nessun registro degli Stati Uniti.
"Questo è un raro esempio di hacker nordcoreani che riescono effettivamente a creare entità aziendali legali negli Stati Uniti al fine di creare fronti aziendali usati per attaccare i candidati ignari di lavoro", ha detto a Reuters Kasey Best, direttore dell'intelligence delle minacce di Silent Push.
L'Ufficio federale di indagine degli Stati Uniti non avrebbe discusso direttamente delle due società. Tuttavia, giovedì, l'Ufficio di presidenza ha pubblicato un avviso di sequestro sul sito web di Blocknovas secondo cui il dominio era stato preso "come parte di un'azione delle forze dell'ordine contro gli attori informatici nordcoreani che hanno utilizzato questo dominio per ingannare le persone con false offerte di lavoro e distribuire malware".
Prima del takedown, alti funzionari dell'FBI hanno detto all'agenzia mira a "imporre rischi e conseguenze, non solo sugli attori della DPRK stessi, ma chiunque stia facilitando la loro capacità di condurre questi schemi".
Un funzionario ha chiamato le unità di hacking "forse una delle minacce persistenti più avanzate" che affrontano oggi gli Stati Uniti.
Silent Push afferma che gli aggressori si sono presentati come reclutatori e hanno offerto interviste che richiedevano obiettivi per aprire file dannosi.
Blocknovas e Softglide hanno usato annunci di lavoro per far scivolare malware agli sviluppatori di criptovalute
Una volta lanciati, i file hanno provato a raccogliere i tasti del portafoglio di criptovaluta, le password e altridentCRE che potrebbero successivamente aiutare a entrare in scambi o aziende tecnologiche.
Il rapporto inedito della società conferma "molteplici vittime", la maggior parte di esse si è avvicinata attraverso Blocknovas, che i ricercatori descrivono come "di gran lunga il più attivo" dei tre fronti.
I registri statali mostrano che Blocknovas è stato registrato nel New Mexico il 27 settembre 2023. I suoi documenti elenca un indirizzo postale a Warrenville, nella Carolina del Sud, che Google Maps mostra come un lotto vuoto.
L'incorporazione di Softglide a New York tracin un piccolo ufficio di preparazione fiscale a Buffalo. Non vi era alcuna tracdelle persone i cui nomi compaiono su entrambi i depositi.
I funzionari statunitensi affermano che il modello si adatta a una più ampia spinta nordcoreana per sollevare valuta dura. Gli esperti di Washington, Seoul e delle Nazioni Unite hanno accusato a lungo Pyongyang di aver rubato la criptovaluta e di aver spedito migliaia di lavoratori di tecnologia dell'informazione all'estero per bancariare il programma di missili nucleari del paese.
Gestire una società controllata dalla Corea del Nord all'interno degli Stati Uniti interrompe le sanzioni imposte dall'Ufficio per il controllo delle attività esteri (OFAC) del Dipartimento del Tesoro. Viola le misure del Consiglio di sicurezza delle Nazioni Unite che escludono l'attività commerciale a beneficio dello stato o militare nordcoreano.
I file di lavoro allacciati dal malware sono collegati al gruppo Lazzaro
Il segretario di Stato del New Mexico ha dichiarato in un'e-mail che Blocknovas è stato depositato attraverso il sistema online-llc online utilizzando un agente registrato e sembrava soddisfare le regole statali. "Non ci sarebbe modo in cui il nostro ufficio saprebbe il suo legame con la Corea del Nord", ha scritto un rappresentante.
Gli investigatori collegano l'attività a un sottogruppo del Gruppo Lazzaro, una squadra di hacking d'élite che risponde all'Ufficio generale di ricognizione, il principale braccio straniero di Pyongyang.
Silent Push IdentIfied almeno tre famiglie di malware precedentemente conosciute all'interno dei file di lavoro dannosi. Gli strumenti possono estrarre dati da macchine infette, aprire porte per ulteriori intrusioni e scaricare un codice di attacco aggiuntivo, un playbook spesso visto nelle attività di Lazzaro passate.
Per ora, il dominio di Blocknovas si trova sotto l'attacco federale, il sito Web di Softglide è offline e gli errori di restituzione delle pagine dell'Agenzia di Angeloper. Ma gli investigatori avvertono che i nuovi alias possono apparire rapidamente.
"Questa operazione illustra la minaccia in continua evoluzione rappresentata dagli attori informatici della RPDC", ha affermato l'FBI nella sua dichiarazione, esortando i professionisti della tecnologia a esaminare le offerte di lavoro non richieste e a segnalare qualsiasi sensibilizzazione sospetta.
Chiave Difference Wire : i progetti di criptovalute per lo strumento segreto utilizzano per ottenere una copertura mediatica garantita
