O Federal Bureau of Investigation (FBI) alertou, num comunicado, que a Coreia do Norte tem visado agressivamente empresas de criptomoeda.
Num comunicado recente, o FBI avisou que mesmo aqueles com perspicácia técnica podem ser vítimas de especialistas que trabalham em nome da Coreia do Norte.
De acordo com a agência americana, as forças cibernéticas norte-coreanas têm pesquisado ETF – Exchange Traded Fund (em português, fundo de investimento negociado na bolsa de valores) nos últimos meses, possivelmente com o objetivo de preparar ataques a empresas associadas a estes produtos financeiros ou outros de criptomoeda.
Coreia do Norte protagoniza ataques complexos e elaborados
Estes grupos são conhecidos como agentes de ameaça pelo Internet Crime Complaint Center (IC3) do FBI, que divulgou uma análise abrangente de alguns processos utilizados por estes agentes de ameaças ao implantar software malicioso.
Os esquemas de engenharia social norte-coreanos são complexos e elaborados, comprometendo frequentemente as vítimas com perspicácia técnica sofisticada.
Dada a escala e a persistência dessa atividade maliciosa, mesmo aqueles bem informados em práticas de segurança cibernética podem ser vulneráveis à determinação da Coreia do Norte em comprometer redes conectadas a ativos de criptomoeda.
Lê-se no comunicado do FBI, que descreve que os agentes de ameaças trabalham com base em três estratégias principais:
- Extensa pesquisa pré-operacional;
- Cenários falsos personalizados, que incluem agentes de ameaças disfarçados de potenciais empregadores ou investidores na área das criptomoedas, que tentam criar um relatório com as vítimas antes de implantarem malware;
- Falsificações, por via das quais os agentes tentam clonar ou esconder a sua atividade sob falsos pretextos, de forma semelhante aos cenários falsos personalizados.
O FBI destaca que “os atores normalmente comunicam com as vítimas em inglês fluente ou quase fluente e estão bem informados relativamente aos aspetos técnicos das criptomoedas“.
Como identificar potenciais ataques maliciosos pelos agentes da Coreia do Norte?
O FBI deu a conhecer alguns indicadores que podem revelar um ataque malicioso promovido pelos agentes de ameaças da Coreia do Norte. Conhecem-se pelo nome de atividade de engenharia social e podem ser os seguintes:
- Pedidos para executar código ou descarregar aplicações em dispositivos pertencentes à empresa ou noutros dispositivos com acesso à rede interna de uma empresa.
- Pedidos para realizar um “teste pré-contratação” ou um exercício de debugging que envolva a execução de pacotes Node.js, pacotes PyPI, scripts ou repositórios GitHub não convencionais ou desconhecidos.
- Ofertas de emprego de empresas proeminentes de criptomoeda ou tecnologia que sejam inesperadas ou envolvam uma compensação irrealisticamente elevada sem negociação.
- Ofertas de investimento de empresas ou indivíduos proeminentes que não foram solicitadas ou que não foram propostas ou discutidas anteriormente.
- Insistência na utilização de software não convencional ou personalizado para realizar tarefas simples facilmente realizáveis através da utilização de aplicações comuns (por exemplo, videoconferência ou ligação a um servidor).
- Pedidos para executar um script para ativar funcionalidades de chamada ou videoconferência supostamente bloqueadas devido à localização da vítima.
- Pedidos para transferir conversas profissionais para outras plataformas ou aplicações de mensagens.
- Contactos não solicitados que contêm ligações ou anexos inesperados.
Como reduzir o risco de ser atacado pelos agentes da Coreia do Norte
No sentido de reduzir o risco associado às capacidades avançadas e dinâmicas de engenharia social da Coreia do Norte, o FBI recomenda as seguintes práticas, recomendadas para empresas ou utilizadores privados:
- Desenvolva os seus próprios métodos exclusivos para verificar a identidade de um contacto utilizando plataformas de comunicação separadas e não conectadas. Por exemplo, se um contacto inicial for feito através de uma rede profissional ou de um site de emprego, confirme o pedido do contacto através de uma videochamada em direto numa aplicação de mensagens diferente.
- Não guarde informações sobre carteiras de criptomoedas – logins, palavras-passe, ID de carteiras, chaves privadas, etc. – em dispositivos ligados à Internet.
- Evite fazer testes pré-contratação ou executar código em computadores portáteis ou dispositivos da empresa. Se um teste pré-contratação exigir a execução de código, insista na utilização de uma máquina virtual num dispositivo não ligado à empresa ou num dispositivo fornecido pelo tester.
- Exija vários fatores de autenticação e aprovações de várias redes diferentes não conectadas antes de qualquer movimento dos ativos financeiros da sua empresa. Alternar regularmente e efetuar verificações de segurança nos dispositivos e redes envolvidos neste processo de autenticação e aprovação.
- Limite o acesso à documentação de rede sensível, condutas de desenvolvimento comercial ou de produtos e repositórios de códigos da empresa.
- Canalize as comunicações comerciais para plataformas fechadas e exigir autenticação – idealmente em pessoa – antes de adicionar alguém à plataforma interna.
- Autentique regularmente os funcionários que não são vistos pessoalmente.
Para as empresas com acesso a grandes quantidades de criptomoeda, o FBI recomenda, ainda, bloquear os dispositivos ligados à rede da empresa para que não descarreguem ou executem ficheiros, exceto programas específicos, e desativar os anexos de correio eletrónico por defeito.
Importa recordar que, no ano passado, a Coreia do Norte terá liderado vários ataques cibernéticos, visando a infraestrutura digital americana e internacional, com foco nas criptomoedas, além de ter “lavado”, segundo a Organização das Nações Unidas, mais de 140 milhões de dólares em criptomoedas roubadas.