Hackers norte-coreanos roubaram US$ 88 milhões se passando por trabalhadores de tecnologia dos EUA

A Flashpoint revela como hackers norte-coreanos usaram identidades falsas para garantir empregos remotos em TI nos EUA, desviando US$ 88 milhões. Descubra como eles usaram identidades e tecnologias falsas para cometer a fraude.

Hackers norte-coreanos usaram identidades roubadas para conseguir empregos remotos em TI em empresas e organizações sem fins lucrativos dos EUA, arrecadando pelo menos US$ 88 milhões em seis anos. O Departamento de Justiça dos EUA indiciou quatorze cidadãos norte-coreanos em 12 de dezembro de 2024 por seu envolvimento. A empresa de segurança Flashpoint conduziu uma investigação única, analisando dados dos próprios computadores infectados dos hackers para descobrir suas táticas e detalhes exclusivos sobre o esquema.

A investigação da Flashpoint revelou o uso de empresas falsas citadas na acusação, incluindo "Baby Box Info", "Helix US" e "Cubix Tech US", para criar currículos confiáveis ​​e fornecer referências fraudulentas. Os pesquisadores rastrearam computadores infectados, principalmente um em Lahore, Paquistão, que continha credenciais de login para endereços de e-mail associados a essas entidades falsas. O nome de usuário "jsilver617", potencialmente vinculado a uma identidade falsa americana "JS", foi encontrado em uma dessas máquinas, que foi usada para se candidatar a diversos empregos no setor de tecnologia em 2023.

Uma evidência crucial foi o uso extensivo do Google Tradutor entre inglês e coreano, encontrado no histórico do navegador de um computador infectado, o que sugeriu a origem dos hackers. Mensagens traduzidas expuseram seus métodos para criar referências de emprego falsas, incluindo informações de contato fabricadas de pessoas nas empresas fictícias. Uma mensagem traduzida, que se passava por um gerente de RH da "Cubix", fornecia informações falsas de verificação de emprego.

Outras comunicações sugeriram uma estrutura hierárquica dentro da operação e discutiram "tradecraft", como estratégias para evitar o uso de webcams durante reuniões online. A frustração com o baixo desempenho de um funcionário remoto também ficou evidente em uma mensagem traduzida que afirmava: "É a prova de que você é um fracasso".

A investigação também revelou discussões sobre o envio de dispositivos eletrônicos, provavelmente laptops e celulares, para suas configurações de trabalho remoto. Isso se alinha com a reportagem recente do Hackread.com sobre Fazendas de Laptops , onde colaboradores nos EUA recebiam dispositivos para acesso remoto por trabalhadores norte-coreanos, com o proeminente grupo norte-coreano Nickel Tapestry identificado como o principal responsável.

Neste caso, uma mensagem traduzida questionava sobre a entrega de laptops para a Nigéria. O histórico do navegador revelou números de rastreamento de serviços de entrega internacionais, incluindo uma remessa possivelmente originária de Dubai.

Tradução fornecida pela Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

A investigação também revelou o uso do software de desktop remoto AnyDesk nas máquinas infectadas, sugerindo que os agentes norte-coreanos acessaram os sistemas da empresa americana remotamente. Esse detalhe destaca o acesso direto que eles obtiveram às redes sensíveis da empresa.

“Desde sua descoberta, empresas da Fortune 500, indústrias de tecnologia e criptomoedas têm relatado ainda mais agentes secretos da RPDC desviando fundos, propriedade intelectual e informações”, revelou a investigação da Flashpoint, compartilhada com o Hackread.com.

A visão interna da Flashpoint sobre essa operação, obtida por meio da análise de credenciais comprometidas e registros de infostealers, fornece uma compreensão detalhada da sofisticada e lucrativa fraude cibernética da Coreia do Norte visando organizações dos EUA.