Hackers norte-coreanos atacam empresa dos EUA em assalto a criptomoeda

Um renomado grupo de hackers apoiado pela Coreia do Norte se infiltrou recentemente na JumpCloud, uma empresa americana de gerenciamento de TI sediada em Louisville, Colorado. Fontes próximas à situação revelaram que os hackers então usaram essa violação como uma plataforma de lançamento para atingir ainda mais empresas que lidam com criptomoedas, visando desviar seus ativos digitais.
A natureza desse ataque cibernético demonstra uma estratégia em evolução entre os hackers norte-coreanos. Anteriormente, eles tinham como alvo entidades de criptomoeda individualmente; no entanto, seu modus operandi agora parece envolver atacar uma única empresa de gateway que tem conexões com múltiplas fontes de criptomoeda.
Resposta da JumpCloud
A JumpCloud admitiu a violação em uma postagem de blog, sugerindo que um “ator de ameaça patrocinado por um estado-nação” foi o responsável. No entanto, a empresa permaneceu calada quando questionada sobre os perpetradores específicos ou a clientela afetada. Embora um representante da JumpCloud tenha confirmado que menos de cinco clientes foram afetados, ainda não há clareza sobre se alguma moeda digital foi roubada durante a violação.
Confirmações de especialistas
A CrowdStrike Holdings, uma importante empresa de segurança cibernética, corroborou que o grupo identificado como “Labyrinth Chollima” – um grupo notório de ciberoperadores norte-coreanos – orquestrou essa intrusão cibernética. Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike, se absteve de elaborar sobre os objetivos dos hackers, mas ressaltou sua propensão histórica de mirar em participações em criptomoedas. Ele observou: “O principal objetivo deles parece girar em torno do financiamento do regime.”
Desvendando o Modus Operandi
Tom Hegel, um pesquisador de segurança cibernética da SentinelOne, destacou a mudança na abordagem de hacking da Coreia do Norte. Não diretamente envolvido na investigação, Hegel enfatizou como a Coreia do Norte aprimorou sua habilidade em "ataques à cadeia de suprimentos". Essas estratégias envolvem infiltrar provedores de serviços ou software para desviar indiretamente dados ou fundos de seus clientes. Hegel alertou: "A Coreia do Norte certamente está aumentando sua aposta".
Além disso, Hegel planeja publicar uma postagem enfatizando como as pistas digitais divulgadas pela JumpCloud vinculam os hackers a atividades normalmente associadas à Coreia do Norte.
Reações e Antecedentes
Tanto a agência de vigilância cibernética dos EUA, CISA, quanto o FBI se abstiveram de comentar o assunto.
Essa violação na JumpCloud, uma empresa especializada em auxiliar administradores de rede, veio à tona quando a empresa notificou os clientes de que suas credenciais estavam sendo alteradas devido a "um incidente". Posteriormente, a JumpCloud revelou em uma postagem de blog que eles rastrearam a violação até 27 de junho. O Risky Business, um podcast especializado em segurança cibernética, também identificou a Coreia do Norte como principal suspeita do ataque.
Labyrinth Chollima, notório por suas explorações cibernéticas audaciosas, é uma das principais entidades de hacking da Coreia do Norte. Sua história é repleta de imensos roubos de moeda digital. Em uma revelação surpreendente, a entidade de análise de blockchain Chainalysis relatou no ano passado que hackers norte-coreanos haviam roubado cerca de US$ 1,7 bilhão em criptomoedas em várias operações.
Meyers, da CrowdStrike, alertou sobre subestimar as brigadas cibernéticas norte-coreanas e prevê mais ataques desse tipo à cadeia de suprimentos no futuro.