Os agentes cibernéticos norte-coreanos formaram silenciosamente duas empresas de responsabilidade limitada nos Estados Unidos e os usaram para colocar código prejudicial para engenheiros de software em busca de emprego no mundo da criptomoeda, de acordo com registros e pesquisas dos EUA compartilhados com a Reuters.
A Silent Push, uma empresa de segurança cibernética, diz que a Blocknovas LLC no Novo México e a Softglide LLC em Nova York foram construídas com nomes inventados e endereços alugados para que os hackers pudessem parecer empregadores legítimos enquanto enviava malware para os candidatos. Uma terceira empresa, a AngelOper Agency, carregou impressõesdentmaliciosas da Web, mas não apareceu em nenhum registro corporativo dos EUA.
"Este é um exemplo raro de hackers norte -coreanos, na verdade, conseguindo estabelecer entidades corporativas legais nos EUA, a fim de criar frentes corporativas usadas para atacar candidatos desavisados de emprego", disse à Reuters Kasey Best, diretor de inteligência de ameaças de Silent Push.
O Bureau Federal de Investigação dos EUA não discutiria diretamente as duas empresas. No entanto, na quinta -feira, o Bureau publicou um aviso de apreensão no site da Blocknovas, que dizia que o domínio foi tomado "como parte de uma ação de aplicação da lei contra atores cibernéticos norte -coreanos que utilizaram esse domínio para enganar indivíduos com postagens falsas de emprego e distribuir malware".
Antes da queda, as autoridades seniores do FBI disseram à agência que visa "impor riscos e consequências, não apenas aos próprios atores da RPDC, mas a qualquer pessoa que esteja facilitando sua capacidade de conduzir esses esquemas".
Um funcionário chamou as unidades de hackers "talvez uma das ameaças persistentes mais avançadas" enfrentam os Estados Unidos hoje.
Silent Push diz que os atacantes posaram como recrutadores e ofereceram entrevistas que exigiam que os alvos abrissem arquivos maliciosos.
BlockNovas e Softglide usaram anúncios de trabalho para escorregar malware para desenvolvedores de criptografia
Depois de lançados, os arquivos tentaram colher chaves de carteira de criptomoeda, senhas e outrosdentque mais tarde poderiam ajudar a entrar em trocas ou empresas de tecnologia.
O relatório não publicado da empresa confirma "várias vítimas", a maioria delas se aproximou do BlockNovas, que os pesquisadores descrevem como "de longe o mais ativo" das três frentes.
Os registros estaduais mostram que a BlockNovas foi registrada no Novo México em 27 de setembro de 2023. Sua papelada lista um endereço postal em Warrenville, Carolina do Sul, que o Google Maps mostra como um lote vazio.
A incorporação da SoftGlide em Nova York tracpara um pequeno escritório de preparação de impostos em Buffalo. Não havia trace das pessoas cujos nomes aparecem em nenhum dos arquivos.
As autoridades americanas dizem que o padrão se encaixa em um esforço norte -coreano mais amplo para aumentar a moeda. Os especialistas em Washington, Seul e as Nações Unidas acusam Pyongyang de roubar criptografia e despachar milhares de trabalhadores de tecnologia da informação no exterior para bancar o programa de mísseis nucleares do país.
A administração de uma empresa controlada pela Coréia do Norte dentro dos Estados Unidos quebra as sanções impostas pelo Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro (OFAC). Viola o Conselho de Segurança da ONU mede que a atividade comercial de barra que beneficie o estado ou militar norte -coreano.
Os arquivos de emprego com malware estão vinculados ao grupo Lazarus
O secretário de Estado do Novo México disse em um e-mail que o Blocknovas foi arquivado através do sistema on-line doméstico-LLC usando um agente registrado e parecia atender às regras do estado. "Não haveria como nosso escritório conhecer sua conexão com a Coréia do Norte", escreveu um representante.
Os investigadores vinculam a atividade a um subgrupo do Lazarus Group, uma equipe de hackers de elite que responde ao departamento geral de reconhecimento, o principal braço de inteligência estrangeira de Pyongyang.
O Silent Push IdentIdied pelo menos três famílias de malware anteriormente conhecidas dentro dos arquivos de emprego maliciosos. As ferramentas podem extrair dados de máquinas infectadas, abrir portas traseiras para mais intrusão e baixar o código de ataque adicional, um manual frequentemente visto nas atividades anteriores do Lazarus.
Por enquanto, o domínio da Blocknovas está sob a apreensão federal, o site da Softglide está offline e os erros de retorno das páginas da agência de Angeloper. Mas os investigadores alertam que novos pseudônimos podem aparecer rapidamente.
"Esta operação ilustra a ameaça em constante evolução representada por atores cibernéticos da RPDC", disse o FBI em seu comunicado, pedindo aos profissionais de tecnologia que examinassem ofertas de emprego não solicitadas e relatem qualquer divulgação suspeita.
Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida
