Como grupo hacker da Coreia do Norte usou o LinkedIn e engenharia social para roubar US$ 3,4 bilhões em criptomoedas

Grupo Lazarus usa tática de enviar vagas falsas de emprego para desenvolvedores para roubar acessos e pegar as criptomoedas
Hacker mexendo em notebook com bandeira da Coreia do Norte no fundo

Shutterstock

O conhecido grupo de hackers norte-coreanos Lazarus roubou pelo menos US$ 3,4 bilhões em criptomoedas usando engenharia social, incluindo até mesmo o LinkedIn como forma de enganar as pessoas e roubar os recursos.

O número foi divulgado pela organização independente de jornalismo Dl News e inclui dados de ataques desde 2007, contando com o da Harmony’s Horizon, de US$ 100 milhões em 2022, da Atomic Wallet, de US$ 35 milhões este ano, e o ataque de ransomware WannaCry em 2017.

Publicidade

Entre as formas como o Lazarus realiza seus ataques está o uso de plataformas de recrutamento como o LinkedIn para atrair as pessoas. Um exemplo foi na chamada Operação In(ter)ception, feita em 2019.

De acordo com a empresa de segurança cibernética ESET, este ataque dos hackers teve como alvo empresas militares e aeroespaciais europeias e do Oriente Médio, e o Lazarus enganou funcionários com anúncios de emprego, pedindo aos candidatos para baixarem um PDF que implementava um arquivo executável.

Ataques de engenharia social e de phishing tentam fazer com que as vítimas baixem ou salvem arquivos que permitem o acesso às suas contas ou dispositivos sem que elas saibam.

Na última sexta-feira (15), a empresa de vigilância blockchain Elliptic publicou um relatório analisando ataques do grupo norte-coreano nos últimos 104 dias, apontando que eles estiveram envolvidos em pelo menos cinco grandes hacks.

Publicidade

O mais recente, de acordo com dados de blockchain, foi da exchange de criptomoedas CoinEx, que foi hackeada no início da semana passada em um ataque que já chegou a US$ 54 milhões. Ao todo, a Elliptic estima que o Lazarus seja responsável pelo roubo de quase US$ 240 milhões em criptomoedas em três meses.

Segundo a Elliptic, desde o ano passado o grupo Lazarus mudou o foco de seus ataques de serviços descentralizados para serviços centralizados, e apontou alguns fatores que podem explicar isso.

Entre eles está a maior segurança adotada nesses protocolos DeFi exatamente por conta do alto número de ataques contra eles. Além disso, o tipo de ataque usando engenharia social (como o que usa o LinkedIn) pode ser menos vantajoso em serviços descentralizados, já que ter acesso a um desenvolvedor não necessariamente dará acesso ao projeto todo exatamente por ele ser descentralizado.

Em 2019, o Departamento do Tesouro dos EUA aplicou sanções ao grupo, ligando-o oficialmente aos espiões do Gabinete Geral de Reconhecimento da Coreia do Norte. O Tesouro também atribuiu ao grupo o status de financiador do programa de armas nucleares terroristas.