Uma firma de segurança cibernética dos EUA, Recorded Future, lançou um novo relatório que liga o Lazarus Group, um grupo de hackers da Coréia do Norte, a vários ataques e invasões de criptomoedas sul-coreanas e violações de segurança.
Em um relatório intitulado "North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign" (A Coréia do Norte atacou criptomoedas da coréia do Sul no final de 2017), os pesquisadores da empresa afirmaram que o mesmo tipo de malware usado na invasão da Sony Pictures e no ataque de Ransomware WannaCry foi utilizado no ataque ao Coinlink, uma casa de câmbio de criptomoedas sediada na Coréia do Sul.
"O governo norte-coreano, especificamente os membros do Lazarus Group, continuaram a mirar nos câmbios e nos usuários de moedas sul-coreanas no final de 2017, antes do discurso de Ano Novo de Kim Jong Un e subsequente diálogo entre o norte e o sul. O malware empregou o código compartilhado com o Destover, que foi usado contra a Sony Pictures Entertainment em 2014 e com a primeira vítima da WannaCry em fevereiro de 2017," diz o relatório.
$7 milhões foram roubados da Bithumb
Em fevereiro de 2017, a Bithumb, a segunda maior casa de câmbio de criptomoedas do mercado global por volume de negócios diário, foi vítima de uma violação de segurança que levou à perda de cerca de US $7 milhões em fundos de usuários, principalmente em Bitcoin e Ethereum, ou seja o Ether sua criptomoeda.
O relatório divulgado pela Recorded Future observou que a violação de segurança do Bithumb de $7 milhões foi vinculada a hackers norte-coreanos. Os pesquisadores do Grupo Insikt, um grupo de pesquisadores de segurança cibernética que rastreiam as atividades dos hackers norte-coreanos regularmente, revelaram que o Grupo Lazarus, em particular, usou uma ampla gama de ferramentas de ataques de phishing e distribuição de malware através de plataformas de comunicação para obter acesso às criptomoedas, carteiras e contas.
Os pesquisadores do Grupo Insikt revelaram que os hackers do Grupo Lazarus iniciaram uma enorme campanha de malware no outono de 2017 e desde então, os hackers norte-coreanos se concentraram na disseminação de malware, anexando arquivos contendo software fraudulento para obter acesso a dispositivos individuais.
Um método utilizado pelo Grupo Lazarus foi a distribuição de arquivos Hangul Word Processor (HWP) por e-mail, o equivalente da Coreia do Sul a documentos do Microsoft Word, com o malware em anexo. Se algum usuário de criptomoedas baixar o malware, ele se instala de forma autônoma e opera em segundo plano, tomando controle ou manipulando dados armazenados dentro do dispositivo específico.
"Até 2017, norte-coreanos haviam pulado no trem de criptomoeda. "A primeira operação de criptomoedas norte-coreana ocorrida em fevereiro de 2017, com o roubo de $7 milhões (na época) em criptomoedas da casa de câmbio sul-coreana Bithumb. No final de 2017, vários pesquisadores haviam denunciado campanhas adicionais de phishing contra trocas de criptomoedas sul-coreanas, inúmeros roubos bem-sucedidos e até mineração de Bitcoin e Monero," escreveram pesquisadores do Insikt Group.
Motivação dos hackers norte-coreanos
Antes do lançamento do relatório do Recorded Future, várias outras empresas de segurança cibernética acusaram os grupos de hackers norte-coreanos de segmentar plataformas de negociação de criptomoedas sul-coreanas com sofisticadas ferramentas de malware e ataque de phishing.
Pesquisadores do FireEye vincularam seis ataques cibernéticos direcionados contra câmbios sul-coreanos de criptomoedas para hackers financiados pelo estado com base na Coréia do Norte. Mais recentemente, como o Cointelegraph informou, pesquisadores da polícia e da Agência de Segurança e Internet da Coréia iniciaram uma investigação completa sobre uma invasão que levou à falência da YouBit, uma plataforma de negociação de criptomoedas sul-coreana.
Na época, os investigadores locais declararam ter encontrado evidências para vincular a violação de segurança da YouBit aos hackers norte-coreanos. O analista sênior da FireEye, Luke McNamara, também disse a Bloomberg que ferramentas similares amplamente utilizadas por hackers norte-coreanos foram empregadas no ataque de a YouBit.
"Este é um adversário que temos assistido tornar-se cada vez mais capaz e também descarado em termos dos alvos que eles estão dispostos a seguir. Este é realmente apenas um alvo em uma estratégia maior que eles parecem estar empregando desde pelo menos 2016, onde eles estão usando a capacidade que foi usada primeiramente para espionagem para hoje roubar fundos."