Organização hacker da Coreia do Norte roubou 3 bilhões de dólares em ativos de criptografia em 6 anos

Recentemente, um relatório divulgado por uma agência de cibersegurança revelou um fato surpreendente: um grupo de hackers associado à Coreia do Norte conseguiu roubar até 3 bilhões de dólares em ativos de criptografia nos últimos 6 anos.

Segundo relatórios, apenas em 2022, a organização roubou 1,7 mil milhões de dólares em ativos de criptografia, e esses fundos provavelmente foram utilizados para apoiar vários planos da Coreia do Norte. Uma empresa de análise de dados de blockchain apontou que cerca de 1,1 mil milhões de dólares foram roubados de plataformas de finanças descentralizadas (DeFi). O relatório publicado em setembro passado pelo Departamento de Segurança Interna dos EUA também destacou os ataques frequentes da organização a protocolos DeFi.

Esta organização hacker é conhecida por roubo de fundos. Em 2016, eles invadiram o Banco Central de Bangladeche e roubaram 81 milhões de dólares. Em 2018, atacaram uma bolsa de ativos de criptografia no Japão, levando 530 milhões de dólares, e roubaram 390 milhões de dólares do Banco Central da Malásia.

Desde 2017, a Coreia do Norte tem como alvo principal o setor de Ativos de criptografia para ataques cibernéticos. Antes disso, eles haviam roubado fundos de instituições financeiras através da manipulação da rede SWIFT. Esse comportamento chamou a atenção de instituições internacionais, levando as instituições financeiras a aumentar o investimento em defesa cibernética.

Em 2017, com o surgimento das criptomoedas, os hackers da Coreia do Norte mudaram o foco do sistema financeiro tradicional para este novo ativo digital emergente. Inicialmente, eles miravam o mercado de criptografia da Coreia do Sul, e depois expandiram sua influência globalmente.

Em 2022, hackers da Coreia do Norte foram acusados de roubar cerca de 1,7 mil milhões de dólares em ativos de criptografia, um valor equivalente a cerca de 5% da economia interna da Coreia do Norte, ou 45% do seu orçamento militar. Este valor é quase 10 vezes o total das exportações da Coreia do Norte em 2021.

Os métodos de operação dos hackers norte-coreanos na indústria de encriptação são geralmente semelhantes aos métodos tradicionais de crimes cibernéticos, como a utilização de misturadores de criptomoeda, transações entre cadeias e operações em dinheiro fiat fora da bolsa. No entanto, devido ao apoio estatal, eles conseguem expandir suas atividades de roubo para uma escala que não pode ser alcançada por gangues de crimes cibernéticos tradicionais.

Segundo dados de rastreamento, cerca de 44% das moedas de criptografia roubadas em 2022 estavam relacionadas a ações de hackers da Coreia do Norte.

Os alvos dos ataques dos hackers norte-coreanos não se limitam apenas às bolsas de criptografia, mas incluem também usuários individuais, empresas de capital de risco e outras tecnologias e protocolos. Todas as instituições e indivíduos que operam na indústria de ativos de criptografia podem se tornar alvos potenciais, e essas ações fornecem ao governo norte-coreano uma forma contínua de operar e arrecadar fundos.

Os profissionais da indústria de encriptação, operadores de exchanges e empreendedores devem estar cientes de que podem ser alvos de ataques de Hacker. As instituições financeiras tradicionais também devem prestar atenção às atividades dos grupos de hackers da Coreia do Norte. Uma vez que a moeda digital é roubada e convertida em moeda fiduciária, os fundos serão transferidos entre diferentes contas para ocultar a origem. Normalmente, identidades roubadas e fotos modificadas são usadas para contornar a lavagem de dinheiro e a verificação de identidade do cliente.

Devido a invasões de organizações de hackers da Coreia do Norte que geralmente começam com engenharia social e atividades de phishing, as organizações devem treinar os funcionários para monitorar tais atividades e implementar autenticação multifatorial robusta, como autenticação sem senha compatível com o padrão FIDO2.

A Coreia do Norte continuará a roubar ativos de criptografia como uma fonte principal de receita para financiar seus projetos militares e de armamento. Embora atualmente não esteja claro quantos dos ativos de criptografia roubados são usados diretamente para financiar lançamentos de mísseis, tanto a quantidade de ativos de criptografia roubados quanto o número de lançamentos de mísseis aumentaram significativamente nos últimos anos. Sem regulamentações mais rigorosas, requisitos de cibersegurança e investimentos na cibersegurança das empresas de ativos de criptografia, a Coreia do Norte quase certamente continuará a usar a indústria de ativos de criptografia como uma fonte de receita suplementar para o estado.

Em julho de 2023, uma empresa de software dos Estados Unidos anunciou que um hacker apoiado pela Coreia do Norte havia penetrado em sua rede. Pesquisadores posteriormente publicaram um relatório, indicando que o grupo responsável por este ataque é muito provavelmente uma organização de hackers da Coreia do Norte focada em ativos de criptografia. Até agosto de 2023, o FBI divulgou um comunicado afirmando que a organização de hackers da Coreia do Norte estava envolvida em múltiplos ataques, tendo roubado um total de 197 milhões de dólares em moeda criptográfica. Esses fundos permitiram que o governo da Coreia do Norte continuasse a operar sob severas sanções internacionais e financiasse até 50% dos custos de seu programa de mísseis balísticos.

Em 2017, hackers da Coreia do Norte invadiram várias bolsas de valores sul-coreanas, roubando ativos de criptografia no valor de cerca de 82,7 milhões de dólares. No mesmo ano, em julho, após o vazamento das informações pessoais de um usuário de uma bolsa, os usuários de ativos de criptografia também se tornaram alvos do ataque.

Além de roubar Ativos de criptografia, os hackers da Coreia do Norte também aprenderam a minerar Ativos de criptografia. Em abril de 2017, pesquisadores descobriram que um software de mineração de moeda foi instalado na invasão de um grupo de hackers. Em janeiro de 2018, pesquisadores sul-coreanos anunciaram que uma organização da Coreia do Norte havia invadido os servidores de uma empresa no verão de 2017 e minerado cerca de 70 moedas, que na época valiam aproximadamente 25.000 dólares.

Em 2020, pesquisadores de segurança continuaram a relatar novos ataques cibernéticos de hackers norte-coreanos direcionados ao setor de Ativos de criptografia. O grupo de hackers norte-coreano atacou várias bolsas de Ativos de criptografia em diferentes países e usou o LinkedIn como forma de contatar inicialmente os alvos.

2021 foi o ano mais ativo da Coreia do Norte no setor de Ativos de criptografia, tendo invadido pelo menos 7 instituições de Ativos de criptografia e roubado o equivalente a 400 milhões de dólares em Ativos de criptografia. Além disso, os hackers norte-coreanos começaram a visar moedas alternativas, incluindo tokens ERC-20, bem como NFTs.

Em janeiro de 2022, pesquisadores confirmaram que ainda há 170 milhões de dólares em Ativos de criptografia para serem resgatados desde 2017.

Em 2022, os ataques significativos do grupo de hackers da Coreia do Norte incluíram várias pontes cross-chain, com perdas totais superiores a 900 milhões de dólares. Esses ataques visaram especialmente as pontes cross-chain que conectam duas blockchains, permitindo que os usuários enviem uma moeda de criptografia de uma blockchain para outra que contém diferentes ativos de criptografia.

Em outubro de 2022, a polícia do Japão anunciou que um grupo de hackers da Coreia do Norte atacou empresas do setor de ativos de criptografia que operam no Japão. Embora não tenham sido fornecidos detalhes específicos, a declaração indicou que algumas empresas foram alvo de invasões bem-sucedidas e que moedas foram roubadas.

Entre janeiro e agosto de 2023, um grupo de hackers da Coreia do Norte supostamente roubou 200 milhões de dólares de várias plataformas. Em um dos ataques, os hackers podem ter se passado por recrutadores, visando especificamente os funcionários de uma empresa alvo, enviando e-mails de recrutamento e mensagens no LinkedIn. A empresa afirmou que os hackers gastaram 6 meses tentando obter acesso à sua rede.

Para prevenir ataques cibernéticos da Coreia do Norte direcionados a usuários e empresas de Ativos de criptografia, os especialistas apresentaram as seguintes recomendações:

1. Ativar a autenticação multifatorial (MFA): Use dispositivos de hardware, como YubiKey, para aumentar a segurança da carteira e das transações.

2. Ativar quaisquer configurações de MFA disponíveis para a exchange de ativos de criptografia, para maximizar a proteção da conta contra logins não autorizados ou roubo.

3. Verifique contas de redes sociais verificadas, veja se o nome de utilizador contém caracteres especiais ou números que substituam letras.

4. Certifique-se de que a transação solicitada é legal e verifique qualquer airdrop ou outras promoções gratuitas de ativos de criptografia ou NFT.

5. Ao receber airdrops ou outros conteúdos de plataformas grandes, verifique sempre a fonte oficial.

6. Verifique sempre a URL e observe o redirecionamento após clicar no link, garantindo que o site é o site oficial e não um site de phishing.

Para fraudes em redes sociais, existem as seguintes dicas de defesa:

1. Ao realizar transações de Ativos de criptografia, seja especialmente cauteloso. Os ativos de criptografia não têm qualquer garantia institucional para mitigar fraudes "tradicionais".

2. Usar uma carteira de hardware. As carteiras de hardware podem ser mais seguras do que as "carteiras quentes" que estão sempre conectadas à Internet.

3. Apenas utilize aplicações descentralizadas (dApps) de confiança e verifique o endereço do contrato inteligente para confirmar a sua autenticidade e integridade.

4. Verifique duas vezes o endereço do site oficial para evitar imitações. Algumas páginas de phishing que roubam ativos de criptografia podem depender de erros de ortografia do domínio para enganar os usuários.

5. Desconfie de ofertas que parecem boas demais para serem verdade. Páginas de phishing para ativos de criptografia atraem vítimas com taxas de câmbio favoráveis para transações de ativos de criptografia ou baixas taxas de Gas para interações de cunhagem de NFT.