Coreia do Norte usa trabalhadores de TI para infiltrar e extorquir empresas

A capacidade da Coreia do Norte de infiltrar sorrateiramente milhares de seus trabalhadores em empresas da Fortune 500 se tornou um foco central para profissionais de cibersegurança em uma recente conferência. Especialistas de diversas áreas – desde equipes de resposta a incidentes auxiliando empresas que contrataram esses trabalhadores até pesquisadores infiltrados em salas de bate-papo onde norte-coreanos fornecem atualizações a altos funcionários – alertam para a crescente ameaça.

Inicialmente considerada restrita ao setor de criptomoedas e empresas de tecnologia, a fraude de trabalhadores de TI norte-coreanos evoluiu para uma ameaça generalizada, enfatizam múltiplos especialistas. Michael Barnhart, especialista em cibersegurança da DTEX, revelou ter encontrado evidências de que uma campanha política nos EUA, no Oregon, contratou um profissional de TI norte-coreano para criar um website. O trabalhador utilizou uma identidade falsa e acessou portais administrativos do WordPress.

Embora o acesso não tenha sido explorado para fins maliciosos, Barnhart adverte que esse tipo de acesso representa uma porta aberta para atividades mais graves, como disseminação de propaganda ou entrega de acesso a grupos de hackers estatais norte-coreanos para a distribuição de malware.

Apesar de meses de alertas e ações policiais, muitos especialistas em segurança enfatizam que a escala da campanha ainda não é totalmente compreendida pelo público. Sam Rubin, da Palo Alto Networks, relatou o caso de um cliente que, em apenas 12 horas após publicar uma vaga de emprego, recebeu pelo menos uma candidatura secreta de um norte-coreano. Investigações revelaram que 90% das vagas dessa empresa não identificada receberam candidaturas de profissionais da Coreia do Norte. Clientes da Palo Alto Networks no setor de criptomoedas testemunham candidaturas diárias desses indivíduos.

Charles Carmakal, CTO da Mandiant (empresa de segurança do Google), afirmou ter conversado com diretores de segurança de diversas empresas da Fortune 500, e quase todos admitiram ter contratado pelo menos um trabalhador de TI norte-coreano. Adam Myers, da Crowdstrike, durante um painel com autoridades do FBI, mencionou casos em que esses trabalhadores permaneceram infiltrados em organizações por até 14 meses, geralmente desempenhando suas funções de forma razoável. Bryan Vorndran, diretor assistente do FBI, alertou que empresas de tecnologia emergente e firmas de capital de risco também estão vulneráveis a essa ameaça.

Os trabalhadores de TI norte-coreanos conseguem burlar a detecção utilizando uma combinação de inteligência artificial e astúcia, respondendo rapidamente a perguntas e obtendo traduções através do ChatGPT. Após a contratação, frequentemente solicitam o envio de seus laptops de trabalho para endereços diferentes dos listados na candidatura, alegando emergências familiares.

Os laptops são enviados para "fazendas de laptops" nos EUA, onde americanos, conscientes ou não, recebem pequenas quantias para hospedar os dispositivos, instalar software de acesso remoto e mantê-los funcionando. Agente especial do FBI, Elizabeth Pelker, explicou que os operadores dessas fazendas geralmente desconhecem o envolvimento norte-coreano, acreditando trabalhar para empresas chinesas.

O esquema frequentemente começa com um laptop e se expande para dezenas. Um especialista no painel observou a cruel ironia de algumas dessas fazendas serem operadas na Ucrânia, por pessoas que ignoram que seu trabalho apoia um regime que auxilia a invasão russa do país.

O FBI e especialistas em segurança detalharam que a Coreia do Norte possui equipes distintas dedicadas a cada etapa da fraude. Há grupos cuja única função é auxiliar os trabalhadores de TI em todo o processo de contratação, utilizando IA para criar currículos perfeitos e fornecer respostas durante entrevistas técnicas. Desde o início das ações policiais e dos alertas públicos no ano passado, Barnhart e outros observaram tentativas de extorsão por parte de alguns trabalhadores ou a transferência de seu acesso a grupos de hackers norte-coreanos mais sofisticados, que implantam malware, roubam dados ou desviam milhões em criptomoedas.

Barnhart enfatiza a conexão direta desse esquema com grupos APT norte-coreanos, hackers de criptomoedas e o programa de mísseis do país. Os trabalhadores de TI são geralmente mantidos em instalações semelhantes a call centers no Sudeste Asiático ou na China, com metas de renda elevadas sob ameaças de violência ou repatriação. As metas de renda aumentaram significativamente, chegando a US$ 20.000 mensais.

Em outubro passado, com as ações policiais desmantelando fazendas de laptops e alertando empresas sobre a presença desses trabalhadores, muitos deles transferiram seu acesso a superiores que realizaram ataques cibernéticos focados em malware ou tentaram extorquir as empresas por pagamentos finais.

Barnhart lidou com múltiplos casos de extorsão, com os trabalhadores demitidos exigindo resgates, inicialmente pequenos, mas que aumentaram com o desespero de compensar a perda de ganhos futuros. A tática de extorsão frequentemente envolvia ameaças de venda de dados confidenciais a concorrentes ou a alegação de ainda possuir acesso a sistemas que seriam entregues a grupos APT norte-coreanos.

Carmakal, da Mandiant, corroborou essas observações, relatando casos de resposta a incidentes envolvendo tentativas de extorsão utilizando dados obtidos por trabalhadores de TI norte-coreanos. A preocupação central é que centenas de empresas da Fortune 500 contrataram esses indivíduos, existindo o risco de que dados confidenciais possam ser divulgados online.

Especialistas alertam que o esquema está se expandindo para outros países, com indivíduos no Paquistão e Irã tentando replicar o sucesso norte-coreano. Um dos maiores desafios é que esses trabalhadores são geralmente considerados competentes, com avaliações de desempenho positivas. A agente do FBI Pelker relatou o comentário frequente: "Mas Johnny é nosso melhor funcionário. Precisamos mesmo demiti-lo?".

Via - RFN