Uma recente pesquisa revelou um cenário alarmante envolvendo hackers norte-coreanos que disfarçam suas verdadeiras identidades para penetrar empresas multinacionais, roubar bilhões em criptomoedas e, eventualmente, sustentar o programa de armas nucleares do regime de Pyongyang. Essa revelação ocorreu durante a conferência Cyberwarcon, realizada em Washington, onde especialistas em segurança cibernética apresentaram uma análise aprofundada sobre como esses invasores tem se tornado uma ameaça persistente sobre o cenário corporativo.
A importância do tema não pode ser subestimada. Eventos como a pandemia de COVID-19 impulsionaram o trabalho remoto, tornando o ambiente corporativo mais vulnerável. Hackers que se passam por trabalhadores da área de TI, recrutadores ou mesmo investidores de risco têm ganhado espaço. De acordo com os pesquisadores, os hackers norte-coreanos conseguiram acumular um impressionante montante de recursos por meio do roubo de criptomoedas, superando a casa dos bilhões de dólares na última década. Isso não apenas ajuda a financiar programas militares, mas também fortalece um regime que já se encontra isolado devido a diversas sanções internacionais.
O pesquisador de segurança da Microsoft, James Elliott, apresentou durante a conferência que esses “trabalhadores de TI” da Coreia do Norte infiltraram-se em “centenas” de organizações ao redor do mundo. Para driblar as sanções, eles utilizam facilitadores baseados nos Estados Unidos que administram estações de trabalho e gerenciam os ganhos oriundos do trabalho ilícito. Essa tática tem eficácia, dado que a Coreia do Norte enfrenta poucas consequências por suas atividades de hacking, que se tornaram praticamente um pilar de seu funcionamento.
Uma das facções hacker, identificada pela Microsoft como “Ruby Sleet”, obteve acesso a empresas do setor de aeroespacial e de defesa, visando roubar segredos que poderiam aprimorar suas capacidades em armamentos e sistemas de navegação. Além dessa facção, os pesquisadores também descreveram um outro grupo, conhecido como “Sapphire Sleet”, que se disfarçou de recrutadores ou de investidores na busca por roubar criptomoedas de indivíduos e empresas. A estratégia típica começava com um contato inicial que, aparentemente inofensivo, levava os alvos a participarem de reuniões virtuais que eram na verdade um mecanismo para a instalação de malware.
Essa forma de operação é intrigante e revela como a tática de utilização de disfarces pode se mostrar eficaz. No cenário dos “falsos investidores”, os hackers pressionavam as vítimas a realizar downloads de malware disfarçado. No caso dos “falsos recrutadores”, os candidatos eram levados a preencher avaliações de habilidades que continham malware. A Microsoft identificou que, em um período de apenas seis meses, esses intrusos conseguiram roubar ao menos $10 milhões em criptomoeda.
Entretanto, a mais insidiosa entre todas essas táticas é a que busca a empregabilidade em grandes corporações. Os invasores se aproveitam do aumento do trabalho remoto e, como um “triplo ataque”, não apenas geram receitas para o regime, mas também apropriando-se de segredos corporativos e propriedade intelectual, enquanto extorquem as empresas com ameaças de revelação de informações sensíveis.
É valido ressaltar que muitas das empresas que, inadvertidamente, empregaram esses “espiões” nacionais não se manifestaram. Em um caso particular, a KnowBe4 admitiu ter sido enredada ao contratar um trabalhador da Coreia do Norte, mas bloqueou imediatamente o acesso remoto ao perceber a armadilha, sem que dados corporativos tenham sido comprometidos.
A abordagem típica desses trabalhadores de TI envolve a criação de perfis online (como LinkedIn e GitHub) que conferem uma aparência de credibilidade. Utilizando tecnologia avançada, como a troca de rostos e mudança de voz, eles conseguem forjar identidades facilmente. Uma vez contratados, os computadores portáteis enviados para seus novos “postos de trabalho” na verdade vão parar nas mãos de facilitadores que têm a missão de instalar programas de acesso remoto, permitindo que os espiões operem a milhares de quilômetros de distância, sem levantar suspeitas.
O cenário é ainda mais complicado por conta da localização dos operadores. Microsoft relatou que eles estão atuando não apenas da Coreia do Norte, mas também da Rússia e China, que são aliadas, tornando a detecção ainda mais desafiadora. Recentemente, a Microsoft teve acesso a um repositório público criado por um suposto trabalhador de TI norte-coreano, revelando detalhes estratégicos da operação, desde as identidades falsas usadas até o lucro obtido através da atividade ilegal.
Outras falhas na estratégia revelaram-se úteis na identificação dos falsos trabalhadores. Hoi Myong e um pesquisador conhecido como SttyK relataram ter notado erros de linguagem em mensagens de um pretendente japonês, bem como falhas na verificação de identidade. A combinação de anúncios de emprego fraudulentos gerou alertas significativos, levando o governo norte-americano a sancionar organizações relacionadas e a FBI alertar sobre o uso de imagens geradas por IA para enganar empregadores em busca de trabalho.
É imperativo que as empresas intensifiquem o processo de verificação de seus futuros funcionários para evitar a contratação de tais invasores. Como ressaltou Elliott, “eles não vão desaparecer” e “continuarão por aqui por um longo tempo.” Essas palavras ecoam como um sinal de alerta para o ambiente corporativo atual, onde desafios de segurança cibernética são mais urgentes do que nunca.