DoD, FBI, DHS alertam para operação ativa de hackers ligada ao governo norte-coreano

Views: 351
0 0
Read Time:3 Minute, 29 Second

O FBI e os departamentos de Defesa e Segurança Interna emitiram um alerta conjunto na terça-feira alertando o setor privado sobre o que eles dizem ser uma operação global de hackers dirigida por hackers ligados ao governo norte-coreano.

O grupo de hackers, conhecido como Kimsuky, tende a executar invasões de coleta de informações contra alvos na Coreia do Sul, Japão e ESTADOS Unidos, de acordo com o alerta do FBI,da Agência de Segurança cibernética e infraestrutura (CISA) do DHS e do Cyber Command, braço de hackers ofensivos do DOD.

Kimsuky geralmente executa campanhas de espionagem cibernética contra think tanks sul-coreanos, bem como alvos relacionados a sanções, tópicos nucleares e outras questões que afetam a Península Coreana, de acordo com o governo dos EUA. Para obter acesso inicial às vítimas, os hackers normalmente usam e-mails de spearphishing e buracos de rega para enganar as vítimas a dar informações, diz o alerta do governo dos EUA.

As operações de Kimsuky, que estão ativas desde pelo menos 2012, são “provavelmente encarregadas pelo regime norte-coreano”, segundo o relatório. Pesquisadores já ligaram Kimsuky, também algumas vezes referido como o grupo Velvet Chollima, com a Coreia do Norte e motivos ligados ao Estado.

O Comando Cibernético disse que está lançando o relatório, que descreve as táticas, técnicas e procedimentos comumente usados por Kimsuky, em um esforço para levar o setor privado a proteger suas redes contra o que o governo diz ser uma operação ativa de hackers norte-coreanos.

O alerta conjunto vem em uma longa série de relatórios que o governo dos EUA divulgou publicamente sobre o hackeamento do governo norte-coreano em um esforço para tirar os hackers norte-coreanos do curso e neutralizar a eficácia de suas operações. Como diz o pensamento, quando o setor privado protege contra essas operações de hackers, os atacantes podem se distrair de suas operações enquanto se reorganizam, dizem as autoridades.

Embora o alerta tenha chegado perto das eleições presidenciais de 2020 nos EUA, a campanha em curso dos hackers norte-coreanos não está ligada a eles, disse um porta-voz do Cyber Command.

Kurt Baumgartner, um dos principais pesquisadores de segurança da Kaspersky, que acompanha Kimsuky desde 2013, diz que o grupo tem permanecido “altamente ativo”, mas que pode não ser o mais capaz no cenário mundial. Quando comparado com um grupo como Muddywater, um grupo de ameaças que pesquisadores se vincularam ao Irã e que Baumgartner diz que “fez grandes avanços nas capacidades técnicas nos últimos anos”, Kimsuky “não avançou aos trancos e barrancos. No entanto, eles fornecem capacidades adequadas.”

No último ano, os lançamentos públicos do Departamento de Defesa sobre o hacking norte-coreano centraram-se em hackers norte-coreanos com motivação financeira, embora nos últimos meses o governo dos EUA tenha voltado sua atenção para tentar enganar hackers norte-coreanos focados em alvos de defesa, militares e energia.

Embora Kimsuky tenha historicamente focado em think tanks e alvos relacionados a sanções e tópicos nucleares, como muitos outros hackers ligados ao governo norte-coreano, o grupo recentemente se interessou em direcionar usuários de criptomoedas e exchanges para executar “operações de geração de moeda”, de acordo com o Relatório de Ameaças Globais de 2020 da CrowdStrike.

Acredita-se também que Kimsuky esteja por trás do alvo de 2014 de uma operadora de usina nuclear coreana Korea Hydro & Nuclear Power Co.de acordo com autoridades sul-coreanas e pesquisadores do Financial Security Institute. Embora as operações das usinas nucleares da Coreia do Sul não tenham sido comprometidas, a operação — destinada a roubar plantas e obter controle remoto de computadores — poderia sugerir motivos potencialmente mais destrutivos no setor de energia.

Nos últimos meses, Kimsuky tem chamado a atenção na comunidade de pesquisa por tirar proveito da pandemia e enviar e-mails com iscas temáticas de coronavírus, de acordo com a pesquisa do Malwarebytes. Os e-mails de spearphishing contêm documentos maliciosos que poderiam permitir que os atacantes coletassem informações sobre máquinas de vítimas, incluindo informações sobre câmeras de vítimas, áudio, Bluetooth e arquivos.

FONTE: CYBERSCOOP

POSTS RELACIONADOS