Encaminhar o Título Original 'Paradigm: Revelando a Ameaça do Grupo de Hackers Norte-Coreano Lazarus Group'

Uma discussão sobre o Grupo Lazarus - o culpado pelo hack da Bybit - da perspectiva da estrutura organizacional, métodos de ataque e estratégias de defesa.

Numa manhã de fevereiro, as luzes acenderam-se no chat em grupo SEAL 911. Ficamos a olhar, confusos, enquanto a Bybit transferia mais de $1 mil milhões em tokens da sua carteira fria para um novo endereço e rapidamente começava a liquidar mais de $200 milhões em LST. Em minutos, através da comunicação com a equipa da Bybit e de análises independentes (envolvendo multisig e uma implementação de Carteira Segura previamente verificada, agora substituída por um contrato recém-implementado e não verificado), confirmamos que não se tratava de uma manutenção rotineira. Alguém acabara de lançar um dos maiores hacks na história das criptomoedas - e estávamos na primeira fila.

Enquanto parte da equipa (juntamente com a comunidade investigativa mais ampla) começou a rastrear os fundos e a notificar as bolsas parceiras, outros tentaram descobrir o que exatamente tinha acontecido e se havia mais fundos em risco. Felizmente, identificar o perpetrador foi fácil. Nos últimos anos, apenas um ator de ameaça conhecido conseguiu roubar bilhões de bolsas de criptomoedas: a Coreia do Norte, também conhecida como a DPRK.

No entanto, para além disso, tínhamos poucas pistas. Devido à natureza astuta e habilidades excepcionais de obfuscação dos hackers norte-coreanos, determinar a causa raiz da violação - muito menos qual equipe específica dentro da Coreia do Norte era responsável - era extremamente difícil. Tudo o que tínhamos eram informações existentes sugerindo que os operadores da Coreia do Norte frequentemente dependem de táticas de engenharia social para infiltrar bolsas de criptomoedas. Com base nisso, presumimos que haviam comprometido os signatários multisig da Bybit e implantado malware para interferir no processo de assinatura.

Afinal, essa suposição estava completamente errada. Alguns dias depois, descobrimos que a Coreia do Norte havia comprometido a infraestrutura da própria Safe Wallet e implementado uma sobrecarga maliciosa personalizada especificamente direcionada para a Bybit. A complexidade desse ataque estava além do que qualquer um havia antecipado ou se preparado, representando um sério desafio para muitos modelos de segurança existentes no mercado.

Hackers norte-coreanos representam uma ameaça crescente para a nossa indústria. Não podemos derrotar um inimigo que não compreendemos. Embora haja muitos incidentes documentados e artigos sobre as operações cibernéticas norte-coreanas, é difícil juntá-los todos. Espero que esta visão geral possa ajudar a fornecer uma imagem mais clara de como a Coreia do Norte opera, suas estratégias e procedimentos, e, em última instância, ajudar-nos a implementar as medidas certas de mitigação.

Estrutura Organizacional

Uma das maiores concepções erradas que precisa ser abordada é como classificar e nomear as extensas atividades cibernéticas da Coreia do Norte. Embora seja aceitável usar o termo "Grupo Lazarus" coloquialmente como rótulo geral, uma terminologia mais precisa é útil ao discutir em detalhe a ameaça cibernética sistemática representada pela Coreia do Norte.

Em primeiro lugar, ajuda a compreender o “organograma” da Coreia do Norte. No topo está o partido político dominante — e único —, o Partido dos Trabalhadores da Coreia (PTC), que supervisiona todas as instituições estatais. Isto inclui o Exército Popular da Coreia (EPC) e o Comitê Central. Dentro do EPC existe o Departamento do Estado-Maior General (ESMG), onde está sediado o Bureau Geral de Reconhecimento (BGR). Sob o Comitê Central está o Departamento da Indústria de Munições (DIM).

O RGB é responsável por quase todas as operações cibernéticas da Coreia do Norte, incluindo quase toda a atividade observada na indústria de criptomoedas. Além do infame Grupo Lazarus, outros atores ameaçadores que têm origem no RGB incluem AppleJeus, APT38, DangerousPassword e TraderTraitor. Por outro lado, o MID supervisiona o programa de mísseis nucleares da Coreia do Norte e é a principal fonte de trabalhadores de TI no exterior do país. A comunidade de inteligência identifica esses atores como Entrevista Contagiosa e Wagemole.

Grupo Lazarus

O Grupo Lazarus é uma organização de hackers altamente sofisticada. Especialistas em cibersegurança acreditam que alguns dos maiores e mais destrutivos ciberataques da história foram realizados por este grupo. Em 2016, a Novetta identificou o Grupo Lazarus enquanto analisava o hack da Sony Pictures Entertainment.

Em 2014, a Sony estava a produzir a ação-comédia The Interview, cujo enredo central envolvia a humilhação e eventual assassinato de Kim Jong-un. Compreensivelmente, isso não foi bem recebido pelo regime norte-coreano, que retaliou hackeando a rede da Sony, roubando vários terabytes de dados, divulgando centenas de gigabytes de informações confidenciais ou sensíveis e apagando os originais. Como o então CEO Michael Lynton colocou: "As pessoas que fizeram isso não apenas roubaram tudo na casa - eles queimaram a casa." A Sony acabou gastando pelo menos $15 milhões em investigação e remediação relacionadas ao ataque, e o dano real pode ter sido ainda maior.

Em 2016, um grupo de hackers com semelhanças marcantes com o Grupo Lazarus infiltrou o Banco do Bangladesh na tentativa de roubar quase $1 bilhão. Ao longo de um ano, os hackers realizaram ataques de engenharia social aos funcionários do banco, eventualmente obtendo acesso remoto e movendo-se lateralmente na rede até alcançarem o computador que se conectava com o sistema SWIFT. A partir daí, esperaram pela oportunidade perfeita: o Bangladesh observa seu fim de semana na quinta-feira, enquanto o Federal Reserve de Nova York folga na sexta-feira. Na noite de quinta-feira, horário local, os atacantes usaram seu acesso ao SWIFT para enviar 36 solicitações de transferência separadas para o Fed de Nova York—na madrugada de sexta-feira, horário local. Nas próximas 24 horas, o Fed encaminhou as transferências para o Rizal Commercial Banking Corporation (RCBC) nas Filipinas, que começou a processá-las. Quando o Banco do Bangladesh reabriu, descobriu a violação e tentou entrar em contato com o RCBC para interromper as transações, apenas para descobrir que o banco tinha fechado para o feriado do Ano Novo Lunar.

Em seguida, em 2017, o extenso ataque de ransomware WannaCry 2.0 devastou indústrias em todo o mundo, com atribuição parcial ao grupo Lazarus. Estima-se que tenha causado bilhões em perdas, o WannaCry explorou uma vulnerabilidade zero-day do Microsoft Windows originalmente desenvolvida pela NSA. Ele criptografou máquinas locais e se propagou por dispositivos acessíveis, infectando, no final, centenas de milhares de sistemas em todo o mundo. Felizmente, o pesquisador de segurança Marcus Hutchins descobriu e acionou um interruptor de desativação em oito horas, limitando a escala dos danos.

Ao longo da sua história, o Grupo Lazarus demonstrou uma capacidade técnica notável e uma eficácia operacional. Um dos seus principais objetivos é gerar receitas para o regime norte-coreano. Era apenas uma questão de tempo até que voltassem sua atenção para a indústria de criptomoedas.

Lazarus Spin-Offs and Evolving Threats

Com o tempo, à medida que o Grupo Lazarus se tornou um termo genérico comumente usado pela mídia para descrever as atividades cibernéticas da Coreia do Norte, a indústria de cibersegurança começou a desenvolver nomes mais precisos para o Grupo Lazarus e operações específicas ligadas à Coreia do Norte. APT38 é um exemplo disso. Por volta de 2016, ele se separou do Grupo Lazarus para se concentrar especificamente em crimes financeiros, inicialmente visando bancos (como o Banco de Bangladesh) e, posteriormente, criptomoedas. Em 2018, uma nova ameaça conhecida como AppleJeus foi descoberta distribuindo malware visando usuários de criptomoedas. Também em 2018, quando a OFAC anunciou sanções contra duas empresas de fachada usadas por norte-coreanos, já era evidente que operativos norte-coreanos se passando por trabalhadores de TI haviam infiltrado a indústria de tecnologia.

Trabalhadores de TI norte-coreanos

Embora a menção mais antiga registrada de trabalhadores de TI norte-coreanos remonte às sanções de 2018 do OFAC, o relatório de 2023 da Unidade 42 forneceu um relato mais detalhado e identificou dois atores de ameaças distintos: Entrevista Contagiante e Wagemole.

A entrevista Contagious é conhecida por se fazer passar por recrutadores de empresas conhecidas para atrair programadores para processos de entrevista falsos. Os candidatos potenciais são instruídos a clonar um repositório para depuração local - enquadrado como parte de um desafio de codificação - mas o repositório contém uma porta dos fundos. A execução do código dá aos atacantes controle sobre a máquina afetada. Esta atividade está em andamento, com o incidente mais recente registado em 11 de agosto de 2024.

Por outro lado, o Wagemole não atrai vítimas - elas são contratadas por empresas reais, misturando-se como engenheiros comuns, embora muitas vezes menos produtivos. Dito isto, existem instâncias documentadas de trabalhadores de TI usando seu acesso para fins maliciosos. No incidente Munchables, um funcionário ligado a operações norte-coreanas explorou o acesso privilegiado aos contratos inteligentes e roubou todos os ativos.

O nível de sofisticação entre os agentes da Wagemole varia amplamente. Alguns usam modelos de currículo genéricos e recusam chamadas de vídeo, enquanto outros submetem CVs personalizados, participam de entrevistas de vídeo deepfake e fornecem identidades falsas como cartas de condução e faturas de serviços públicos. Em alguns casos, os agentes permaneceram dentro das organizações vítimas por até um ano antes de aproveitarem o acesso para infiltrar outros sistemas e/ou retirar dinheiro completamente.

AppleJeus

AppleJeus foca principalmente na distribuição de malware e é especializado na execução de ataques complexos à cadeia de abastecimento. Em 2023, o ataque à cadeia de abastecimento da 3CX permitiu que os atores ameaçadores potencialmente infectassem mais de 12 milhões de utilizadores do software VoIP 3CX. Mais tarde, descobriu-se que a própria 3CX tinha sido afetada por um ataque à cadeia de abastecimento em um dos seus fornecedores upstream—Trading Technologies 13.

Na indústria de criptomoedas, a AppleJeus inicialmente espalhou malware disfarçado de software legítimo, como plataformas de negociação ou carteiras de criptomoedas. No entanto, com o tempo, as suas táticas evoluíram. Em outubro de 2024, o Radiant Capital foi comprometido por um ator de ameaças que se fez passar por um empreiteiro confiável que entregou malware via Telegram. A Mandiant atribuiu este ataque à AppleJeus.

Senha Perigosa

A Password Perigosa é responsável por ataques de engenharia social de baixa complexidade direcionados à indústria de criptomoedas. Já em 2019, a JPCERT/CC documentou que a Password Perigosa estava a enviar emails de phishing contendo anexos tentadores para os utilizadores descarregarem. Nos últimos anos, a Password Perigosa tem-se feito passar por figuras conhecidas no espaço das criptomoedas para enviar emails de phishing com assuntos como "Grandes Riscos em Stablecoins e Ativos de Criptomoedas."

Hoje, a Password Perigosa continua a enviar emails de phishing, mas expandiu as suas atividades para outras plataformas. Por exemplo, a Radiant Capital reportou ter recebido uma mensagem de phishing via Telegram de alguém que se fazia passar por um investigador de segurança. A mensagem incluía um ficheiro com o nome “Penpie_Hacking_Analysis_Report.zip”. Além disso, os utilizadores reportaram ter sido contactados por indivíduos que se faziam passar por jornalistas ou investidores e que pediam para marcar uma chamada utilizando aplicações de videoconferência obscuras. Como o Zoom, estas aplicações pedem aos utilizadores para descarregar um instalador único, mas, após a execução, instalam malware no dispositivo do utilizador.

TraderTraitor

TraderTraitor é o grupo de hackers norte-coreano mais sofisticado que visa a indústria de criptomoedas e tem sido associado a ataques em plataformas como Axie Infinity e Rain.com. TraderTraitor quase exclusivamente tem como alvo exchanges e empresas com grandes reservas e não utiliza vulnerabilidades zero-day. Em vez disso, emprega técnicas altamente sofisticadas de spear-phishing para comprometer suas vítimas. No caso da violação da Axie Infinity, o TraderTraitor entrou em contato com um engenheiro sênior através do LinkedIn e conseguiu convencê-lo a passar por uma série de entrevistas, enviando no final uma “oferta de emprego” que entregava a carga de malware. No ataque ao WazirX, os agentes do TraderTraitor comprometeram um componente não identificado no pipeline de assinatura de transações. Eles então esvaziaram a hot wallet da exchange, depositando e retirando fundos repetidamente, levando os engenheiros a reequilibrar da cold wallet. Quando os engenheiros do WazirX tentaram assinar uma transação para transferir os fundos, foram enganados a autorizar uma transação que entregava o controle da cold wallet ao TraderTraitor. Isto é muito semelhante ao ataque de fevereiro de 2025 à Bybit, no qual o TraderTraitor comprometeu inicialmente a infraestrutura da Safe{Wallet} através de engenharia social, e depois implantou JavaScript malicioso na frontend da Safe Wallet especificamente utilizada pela cold wallet da Bybit. Quando a Bybit tentou reequilibrar sua carteira, o código malicioso foi acionado, fazendo com que os engenheiros da Bybit assinassem uma transação sem saber que transferia o controle da cold wallet para o TraderTraitor.

Manter-se seguro

A Coreia do Norte demonstrou a capacidade de implantar vulnerabilidades zero-day contra adversários, mas até agora, não há incidentes registrados ou conhecidos de zero-days sendo usados contra a indústria de criptomoedas. Portanto, o conselho de segurança padrão se aplica a quase todas as ameaças impostas pelos hackers norte-coreanos.

Para os indivíduos, o bom senso e a vigilância contra a engenharia social são essenciais. Por exemplo, se alguém afirmar possuir informações altamente confidenciais e oferecer compartilhá-las consigo, prossiga com cautela. Ou, se alguém aplicar pressão temporal e o instar a baixar e executar software, pondere se estão tentando impedir que pense racionalmente.

Para as organizações, aplique o princípio do menor privilégio sempre que possível. Minimize o número de pessoas com acesso a sistemas sensíveis e certifique-se de que utilizam gestores de palavras-passe e autenticação de dois fatores (2FA). Mantenha separados os dispositivos pessoais e profissionais e instale ferramentas de Gestão de Dispositivos Móveis (MDM) e de Detecção e Resposta de Endpoint (EDR) nas máquinas de trabalho para manter tanto a segurança prévio ao ataque quanto a visibilidade pós-ataque.

Infelizmente, para grandes bolsas de valores ou outros alvos de alto valor, o TraderTraitor ainda pode causar mais danos do que o esperado, mesmo sem usar zero-days. Portanto, precauções adicionais devem ser tomadas para eliminar pontos únicos de falha, de forma que uma única comprometimento não resulte em perda financeira completa.

Ainda assim, mesmo que tudo falhe, há esperança. O FBI tem uma equipa dedicada a rastrear e prevenir intrusões norte-coreanas e tem notificado ativamente vítimas há anos. Fiquei recentemente contente por ajudar essa equipa a conectar-se com potenciais alvos norte-coreanos. Portanto, para se preparar para o pior, certifique-se de ter informações de contato publicamente disponíveis ou manter relacionamentos fortes em todo o ecossistema (por exemplo, SEAL 911) para que alertas críticos possam chegar até si o mais rapidamente possível através do gráfico social.

Aviso legal:

1. Este artigo foi reproduzido a partir de [ForesightNews]. Encaminhe o Título Original 'Paradigma: Revelando a Ameaça do Grupo de Hackers Norte-Coreano Lazarus Group'. Todos os direitos autorais pertencem ao autor original [samczsun, Parceiro de Pesquisa na Paradigm]. Se houver alguma objeção a esta reimpressão, por favor contacte oGate Learnequipa, e eles irão tratar do assunto prontamente de acordo com os procedimentos relevantes.

2. Aviso Legal: As opiniões expressas neste artigo representam apenas as opiniões pessoais do autor e não constituem qualquer conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Sem mencionarGate.io, é proibido copiar, distribuir ou plagiar as versões traduzidas.