Hackers norte-coreanos são suspeitos de usar currículo falso para roubar criptomoeda para governo

EUA alertaram que trabalhadores norte-coreanos de TI estão tentando obter emprego freelance no país para levantar recursos para desenvolvimento de armas Norte-coreanos suspeitos de fraude são acusados de plagiar currículos e fingir ser de outros países como parte de um esforço para levantar dinheiro para o governo de Pyongyang, segundo entrevistas com especialistas em segurança cibernética e dados fornecidos à Bloomberg News.
Os fraudadores estão buscando anúncios de emprego no LinkedIn e no Indeed, incorporando detalhes que encontram em perfis legítimos em seus próprios currículos para tentar ser contratados por empresas de criptomoedas dos EUA, de acordo com pesquisadores de segurança da Mandiant Inc.
Um dos suspeitos disse ser um “profissional de pensamento inovador e estratégico” na indústria de tecnologia, segundo Mandiant, e acrescentou: “O mundo verá um grande resultado das minhas mãos”. A conta do candidato ao emprego, identificada pela Mandiant em 14 de julho, alegava ser a de um desenvolvedor de software experiente. Mas os pesquisadores encontraram uma linguagem quase idêntica no perfil de outra pessoa.
Ao coletar informações de empresas de criptomoedas, disseram os pesquisadores, os norte-coreanos podem obter informações sobre as próximas tendências no segmento de criptomoedas. Esses dados – sobre tópicos como moeda virtual ethereum, tokens não fungíveis e possíveis lapsos de segurança – podem dar ao governo norte-coreano uma vantagem sobre como lavar criptomoedas de uma maneira que ajude Pyongyang a evitar sanções, disse Joe Dobson, analista principal da Mandiant.
“Isso se resume a ameaças internas”, disse ele. “Se alguém for contratado para um projeto de criptomoeda e se tornar um desenvolvedor relevante, isso permitirá que influencie as coisas, seja para o bem ou não.”
O governo norte-coreano negou consistentemente o envolvimento em qualquer roubo cibernético.
Outro norte-coreano suspeito inventou qualificações de trabalho, com alguns usuários alegando em solicitações de emprego que publicaram um white paper sobre a exchange de moedas digitais Bibox, enquanto outro se apresentou como desenvolvedor de software sênior em uma consultoria focada em tecnologia blockchain.
Os pesquisadores da Mandiant disseram ter identificado várias pessoas de nacionalidade norte-coreana suspeitas em sites de emprego que foram contratados com sucesso como funcionários freelance. Eles se recusaram a nomear os empregadores.
“São norte-coreanos tentando ser contratados e chegar a um lugar onde possam canalizar dinheiro de volta para o regime”, disse Michael Barnhart, analista principal da Mandiant.
Além disso, usuários norte-coreanos, alegando ter habilidades de programação, fizeram perguntas no site de codificação GitHub Inc., onde desenvolvedores de software discutem publicamente suas descobertas, sobre tendências no mundo das criptomoedas, de acordo com os pesquisadores da Mandiant.
As evidências detectadas pela Mandiant reforçam alegações feitas pelo governo dos EUA em maio. Os EUA alertaram que trabalhadores norte-coreanos de TI estão tentando obter emprego freelance no exterior, em parte para arrecadar dinheiro para programas governamentais de desenvolvimento de armas.
Os funcionários de TI afirmam ter os tipos de habilidades necessárias para trabalhos complexos, como desenvolvimento de aplicativos para dispositivos móveis, construção de casas de câmbio virtuais e jogos para dispositivos móveis, de acordo com o comunicado dos EUA.
Os trabalhadores de TI norte-coreanos “têm como alvo contratos freelance de empregadores localizados em nações mais ricas”, de acordo com o comunicado de 16 páginas dos EUA divulgado em maio. Em muitos casos, os trabalhadores norte-coreanos se apresentam como sul-coreanos, chineses, japoneses ou do Leste Europeu e teletrabalhadores baseados nos EUA, de acordo com a assessoria dos EUA.
Em abril, um executivo da Aztec Network, uma empresa de blockchain, descreveu a experiência de conduzir uma entrevista de emprego com um possível hacker norte-coreano como o deixando “um pouco abalado”. “Aterrorizante, hilário e um lembrete para ser paranóico e checar três vezes suas práticas de OpSec”, escreveu ele, em um tópico no Twitter. O executivo não respondeu a uma mensagem pedindo comentários.
Em uma tática relacionada, supostos hackers norte-coreanos replicaram o Indeed.com e o usaram para coletar informações sobre os visitantes do site, de acordo com o Google, da Alphabet Inc. Ao configurar sites que parecem reais, os espiões podem enganar os candidatos a emprego para enviar seu currículo, iniciando assim uma conversa que pode permitir que hackers invadam sua máquina ou roubem seus dados, de acordo com Ryan Kalember, vice-presidente executivo da empresa de segurança de e-mail Proofpoint Inc.
Outros domínios falsos, criados por supostos operadores norte-coreanos, personificavam o ZipRecruiter, uma página de carreiras da Disney e um site chamado Variety Jobs, segundo o Google.
“Vemos uma torrente disso todos os dias”, disse Kalember. “Sua capacidade de criar empresas de fachada convincentes está ficando cada vez melhor.”
Em fevereiro, a empresa de segurança Qualys Inc. disse que detectou uma campanha de phishing na qual o chamado Grupo Lazarus, um nome que o governo dos EUA às vezes usa para descrever hackers apoiados por Pyongyang, visava candidatos a emprego que se candidataram a cargos na Lockheed Martin Corp.
Os hackers enviavam mensagens individuais que pareciam ser da Lockheed Martin, usando anexos de e-mail que pareciam incluir informações da empresa, mas na verdade continham software malicioso. O estratagema seguiu esforços semelhantes nos quais os invasores se apresentaram como BAE Systems Plc e Northrop Grumman Corp., de acordo com Qualys.
“Se você olhar para as ofertas de empregos, elas são atraentes para o ego das pessoas e para aqueles que têm desejo por dinheiro”, disse Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike Holdings Inc. Mas são uma jogada para ataques cibernéticos e espionagem.”
O foco da Coreia do Norte em roubar criptomoedas ocorre depois que os hackers do país passaram anos roubando dinheiro do sistema financeiro global, disseram pesquisadores da Mandiant. Após um notório assalto ao Banco de Bangladesh em 2016, onde os EUA acusaram ladrões norte-coreanos de tentar roubar cerca de US$ 1 bilhão, os bancos globais adicionaram salvaguardas destinadas a impedir essas violações.
“O mercado mudou, os bancos se tornaram mais seguros e as criptomoeda são um mercado totalmente novo”, disse Dobson. “Nós os vimos perseguindo usuários finais, exchanges de criptomoedas e agora as pontes de criptomoedas.”