Segundo documentos judiciais e pesquisas compartilhadas com a Reuters, cibercriminosos norte-coreanos formaram discretamente duas empresas de responsabilidade limitada nos Estados Unidos e as utilizaram para disseminar códigos maliciosos para engenheiros de software em busca de emprego no mundo das criptomoedas.
A Silent Push, uma empresa de cibersegurança, afirma que a Blocknovas LLC, no Novo México, e a Softglide LLC, em Nova York, foram criadas com nomes fictícios e endereços alugados para que os hackers pudessem se passar por empregadores legítimos enquanto enviavam malware para candidatos a emprego. Uma terceira empresa, a Angeloper Agency, apresentava impressões digitais web maliciosasdent, mas não constava em nenhum registro corporativo dos EUA.
“Este é um raro exemplo de hackers norte-coreanos que conseguiram estabelecer entidades corporativas legais nos EUA para criar fachadas corporativas usadas para atacar candidatos a emprego desavisados”, disse Reuters.
O FBI (Departamento Federal de Investigação dos EUA) não comentou diretamente sobre as duas empresas. No entanto, na quinta-feira, o órgão publicou um aviso de apreensão no site da Blocknovas, informando que o domínio havia sido confiscado “como parte de uma ação policial contra cibercriminosos norte-coreanos que utilizavam esse domínio para enganar pessoas com anúncios de emprego falsos e distribuir malware”
Antes da operação, altos funcionários do FBI disseram que a agência pretende "impor riscos e consequências, não apenas aos próprios agentes da Coreia do Norte, mas a qualquer pessoa que facilite a sua capacidade de realizar esses esquemas"
as unidades de hackers da Coreia do Norte são "talvez uma das ameaças persistentes mais avançadas" que os Estados Unidos enfrentam atualmente.
A Silent Push afirma que os atacantes se fizeram passar por recrutadores e ofereceram entrevistas que exigiam que as vítimas abrissem arquivos maliciosos.
Blocknovas e Softglide usaram anúncios de emprego para distribuir malware a desenvolvedores de criptomoedas
Uma vez executados, os arquivos tentavam coletar chaves de carteiras de criptomoedas, senhas e outrasdentque poderiam posteriormente ajudar a invadir corretoras ou empresas de tecnologia.
O relatório não publicado da empresa confirma a existência de "múltiplas vítimas", a maioria delas abordada através da Blocknovas, que os pesquisadores descrevem como "de longe a mais ativa" das três frentes.
Registros estaduais mostram que a Blocknovas foi registrada no Novo México em 27 de setembro de 2023. Seus documentos listam um endereço postal em Warrenville, Carolina do Sul, que o Google Maps mostra como um terreno baldio.
A incorporação da Softglide em Nova York traca um pequeno escritório de preparação de impostos em Buffalo. Não havia nenhum tracdas pessoas cujos nomes aparecem em nenhum dos registros.
Autoridades americanas afirmam que o padrão se encaixa em um esforço mais amplo da Coreia do Norte para arrecadar moeda forte. Washington, Seul e especialistas das Nações Unidas há muito acusam Pyongyang de roubar criptomoedas e enviar milhares de trabalhadores de tecnologia da informação para o exterior para financiar o programa nuclear e de mísseis do país.
Administrar uma empresa controlada pela Coreia do Norte dentro dos Estados Unidos viola as sanções impostas pelo Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro. Isso também viola as medidas do Conselho de Segurança da ONU que proíbem atividades comerciais que beneficiem o Estado ou as forças armadas norte-coreanas.
Arquivos de trabalho infectados com malware estão vinculados ao Lazarus Group
A secretária de Estado do Novo México afirmou em um e-mail que a Blocknovas foi registrada por meio do sistema online de LLCs domésticas, utilizando um agente registrado, e que aparentemente atendia às normas estaduais. "Não haveria nenhuma maneira de nosso escritório saber de sua ligação com a Coreia do Norte", escreveu um representante.
Os investigadores associam a atividade a um subgrupo do Grupo Lázaro, uma equipe de hackers de elite subordinada ao Departamento Geral de Reconhecimento, o principal órgão de inteligência externa de Pyongyang.
O Silent Pushdentpelo menos três famílias de malware já conhecidas nos arquivos maliciosos. As ferramentas podem extrair dados de máquinas infectadas, abrir brechas para novas intrusões e baixar códigos de ataque adicionais, uma estratégia frequentemente vista em atividades anteriores do Lazarus.
Por enquanto, o domínio da Blocknovas está sob apreensão federal, o site da Softglide está offline e as páginas da Angeloper Agency exibem erros. Mas os investigadores alertam que novos nomes falsos podem surgir rapidamente.
“Esta operação ilustra a ameaça em constante evolução representada pelos agentes cibernéticos da Coreia do Norte”, afirmou o FBI em comunicado, instando os profissionais de tecnologia a analisarem cuidadosamente ofertas de emprego não solicitadas e a denunciarem qualquer contato suspeito.
