As estratégias da Coreia do Norte para infiltrar espiões em empresas ocidentais, ou para roubar criptomoedas diretamente a pessoas individuais têm sido recorrentes e as mais diversas. Nos últimos anos terão rendido milhões em criptomoedas e dado acesso a segredos comerciais valiosos para o regime, com o objetivo comum de contribuir para o financiamento dos programas militares do regime de Pyongyang. Numa conferência sobre segurança nos Estados Unidos, a Cyberwarcon, vários investigadores partilharam dados sobre algumas das descobertas que têm vindo a fazer relativamente aos métodos dos espiões norte-coreanos.

Os especialistas contam que um dos métodos de espionagem mais usados pelo país passa por tentar infiltrar trabalhadores remotos em grandes multinacionais, com o objetivo de ganharem dinheiro que vai ajudar a financiar os programas de armamento do país, roubar propriedade intelectual e ter acesso a informação privada que possa servir para fazer chantagem. Poucas empresas admitem que são vítimas deste tipo de esquemas mas muitas já terão sido ou continuam a ser neste momento.

Coreia do Norte: hackers usam novas técnicas para atacar media e ONG
Coreia do Norte: hackers usam novas técnicas para atacar media e ONG
Ver artigo

Como relata o TechCrunch, o investigador de segurança da Microsoft, James Elliott, garantiu numa das palestras do evento que nos últimos anos centenas de empresas contrataram trabalhadores remotos para funções ligadas à tecnologia de origem norte-coreana, que se fazem passar por pessoas de outras nacionalidades. Para conseguirem manter a “personagem” recorrem a facilitadores nos Estados Unidos ou noutros países.

Para dar credibilidade a uma candidatura de emprego com estas caraterísticas, os infiltrados norte-coreanos normalmente criam contas online no Linkedin e noutras plataformas e alimentam perfis com dados credíveis e alinhados com o currículo.

Em alguns casos, também recorrem a identidades falsas geradas com recurso a inteligência artificial, para alterar o rosto ou a voz e interagir em entrevistas ou reuniões. Uma vez contratados, a morada fornecida é de um país ociental, onde um facilitar recebe possível correspondência, o salário e o computador de trabalho do novo colaborador da empresa. Este intermediário terá também a função de instalar programas para acesso remoto no portátil de trabalho, permitindo assim que alguém a partir da Coreia entre e trabalhe na máquina sem ser descoberta a verdadeira localização.

Os investigadores dizem que o regime liderado por Kim Jong-un é hoje apoiado por diferentes grupos de hacking que recorrem a diferentes métodos e técnicos, mas que convergem no objetivo de ter acesso a criptomoedas, uma moeda que permite transações à margem das sanções impostas ao país.

Hacker norte-coreano foi acusado de ciberataques aos EUA. Recompensa para quem fornecer informações é de 10 milhões
Hacker norte-coreano foi acusado de ciberataques aos EUA. Recompensa para quem fornecer informações é de 10 milhões
Ver artigo

A Microsoft já caracterizou alguns destes grupos, como o “Ruby Sleet”, que ataca especificamente empresas das áreas da defesa e aeroespacial, à procura de segredos que possam ser úteis para aperfeiçoar o sistema de navegação do país, ou para o desenvolvimento de armas.

Já o “Sapphire Sleet” atua através de supostos recrutadores e investidores, com esquemas que têm como objetivo roubar criptomoedas a empresas e privados. Há duas técnicas que os investigadores identificam como mais recorrentes: a do investidor e a do recrutador.

Na primeira, quando atrai a atenção da vítima, o suposto investidor de capital de risco agenda uma reunião virtual. Quando chega o momento de realizar a reunião, os interlocutores verificam que a ligação não está a funcionar corretamente. O falso investidor tenta então convencer a vítima a instalar uma ferramenta para corrigir a situação e, por essa via, é instalado um malware no computador que dá acesso a diferentes tipos de dados, incluindo de carteiras de criptomoedas.

Na versão recrutador, quem é atraído para as propostas de emprego falsas é levado a descarregar formulários de candidatura ou testes, que também são uma via para instalar malware. Segundo a Microsoft, recorrendo a este tipo de técnicas o grupo conseguiu roubar mais de 10 milhões de dólares em moedas virtuais apenas num período de seis meses.