Tática de espiões cibernéticos norte-coreanos engana especialistas estrangeiros para que escrevam pesquisas | Noticias do mundo

Quando Daniel DePetris, um analista de relações exteriores baseado nos Estados Unidos, recebeu um e-mail em outubro do diretor do think-tank 38 North encomendando um artigo, tudo parecia normal.

Não foi.

O remetente era na verdade um suposto espião norte-coreano em busca de informações, de acordo com os envolvidos e três pesquisadores de segurança cibernética.

Em vez de infectar seu computador e roubar dados confidenciais, como os hackers costumam fazer, o remetente parecia estar tentando obter seus pensamentos sobre questões de segurança norte-coreanas, fingindo ser a diretora da 38 North, Jenny Town.

“Percebi que não era legítimo assim que entrei em contato com a pessoa com perguntas de acompanhamento e descobri que, de fato, não havia nenhum pedido feito e que essa pessoa também era um alvo”, disse DePetris à Reuters, referindo-se a Town. “Então, percebi rapidamente que essa era uma campanha generalizada.”

O e-mail faz parte de uma campanha nova e não divulgada anteriormente por um suposto grupo de hackers norte-coreanos, de acordo com especialistas em segurança cibernética, cinco indivíduos visados ​​e e-mails analisados ​​pela Reuters.

Os especialistas em segurança cibernética suspeitam que os hackers tenham como alvo pessoas influentes em governos estrangeiros para entender melhor para onde a política ocidental está indo na Coreia do Norte.

O grupo de hackers, que os pesquisadores apelidaram de Thallium ou Kimsuky, entre outros nomes, há muito usa e-mails de “spear-phishing” que induzem os alvos a fornecer senhas ou clicar em anexos ou links que carregam malware. Agora, no entanto, também parece simplesmente pedir a pesquisadores ou outros especialistas que opinem ou escrevam relatórios.

De acordo com e-mails analisados ​​pela Reuters, entre as outras questões levantadas estavam a reação da China no caso de um novo teste nuclear; e se uma abordagem “mais silenciosa” à “agressão” norte-coreana pode ser justificada.

“Os invasores estão tendo muito sucesso com esse método muito, muito simples”, disse James Elliott, do Microsoft Threat Intelligence Center (MSTIC), que acrescentou que a nova tática surgiu pela primeira vez em janeiro. “Os atacantes mudaram completamente o processo.”

O MSTIC disse ter identificado “vários” especialistas da Coreia do Norte que forneceram informações para uma conta de um invasor de tálio.

Um relatório de 2020 das agências de segurança cibernética do governo dos EUA disse que o Thallium está em operação desde 2012 e “provavelmente é encarregado pelo regime norte-coreano de uma missão global de coleta de inteligência”.

Historicamente, o tálio tem como alvo funcionários do governo, grupos de reflexão, acadêmicos e organizações de direitos humanos, de acordo com a Microsoft.

“Os atacantes estão obtendo as informações diretamente da boca do cavalo, se você quiser, e eles não precisam ficar sentados e fazer interpretações porque estão obtendo diretamente do especialista”, disse Elliott.

NOVAS TÁTICAS

Os hackers norte-coreanos são conhecidos por ataques que renderam milhões de dólares, visando a Sony Pictures por causa de um filme considerado um insulto ao seu líder e roubando dados de empresas farmacêuticas e de defesa, governos estrangeiros e outros.

A embaixada da Coreia do Norte em Londres não respondeu a um pedido de comentário, mas negou estar envolvida em crimes cibernéticos.

Em outros ataques, o tálio e outros hackers passaram semanas ou meses desenvolvendo confiança com um alvo antes de enviar software malicioso, disse Saher Naumaan, principal analista de inteligência de ameaças da BAE Systems Applied Intelligence.

Mas, de acordo com a Microsoft, o grupo agora também se envolve com especialistas em alguns casos, sem nunca enviar arquivos ou links maliciosos, mesmo depois que as vítimas respondem.

Essa tática pode ser mais rápida do que invadir a conta de alguém e vasculhar seus e-mails, ignora os programas técnicos de segurança tradicionais que verificam e sinalizam uma mensagem com elementos maliciosos e permite aos espiões acesso direto ao pensamento dos especialistas, disse Elliott.

“Para nós, como defensores, é muito, muito difícil interromper esses e-mails”, disse ele, acrescentando que na maioria dos casos tudo se resume ao destinatário ser capaz de descobrir.

Town disse que algumas mensagens supostamente dela usaram um endereço de e-mail que terminava em “.live” em vez de sua conta oficial, que termina em “.org”, mas copiou sua linha de assinatura completa.

Em um caso, ela disse, ela se envolveu em uma troca de e-mail surreal na qual o suposto invasor, se passando por ela, a incluiu em uma resposta.

DePetris, membro do Defense Priorities e colunista de vários jornais, disse que os e-mails que recebeu foram escritos como se um pesquisador estivesse pedindo a submissão de um artigo ou comentários sobre um rascunho.

“Eles eram bastante sofisticados, com logotipos de think tanks anexados à correspondência para dar a impressão de que a investigação era legítima”, disse ele.

Cerca de três semanas depois de receber o e-mail falso da 38 North, um outro hacker se fez passar por ele, enviando e-mails a outras pessoas para ver um rascunho, disse DePetris.

Esse e-mail, que DePetris compartilhou com a Reuters, oferece US$ 300 para revisar um manuscrito sobre o programa nuclear da Coreia do Norte e pede recomendações para outros possíveis revisores. Elliot disse que os hackers nunca pagaram a ninguém por suas pesquisas ou respostas e nunca pretenderam.

JUNTANDO INFORMAÇÕES

A representação é um método comum para espiões em todo o mundo, mas como o isolamento da Coreia do Norte se aprofundou sob as sanções e a pandemia, as agências de inteligência ocidentais acreditam que Pyongyang se tornou particularmente dependente de campanhas cibernéticas, disse uma fonte de segurança em Seul à Reuters, falando sob condição de anonimato. para discutir assuntos de inteligência.

Em um relatório de março de 2022, um painel de especialistas que investiga as evasões das sanções da ONU pela Coreia do Norte listou os esforços do Thallium como uma das atividades que “constituem espionagem destinada a informar e ajudar” a evitar as sanções do país.

Town disse que, em alguns casos, os invasores encomendaram documentos e os analistas forneceram relatórios completos ou revisões de manuscritos antes de perceber o que havia acontecido.

DePetris disse que os hackers perguntaram a ele sobre questões nas quais ele já estava trabalhando, incluindo a resposta do Japão às atividades militares da Coreia do Norte.

Outro e-mail, fingindo ser um repórter do Kyodo News do Japão, perguntou a um funcionário da 38 North como eles achavam que a guerra na Ucrânia influenciava o pensamento da Coreia do Norte e fez perguntas sobre as políticas dos EUA, China e Rússia.

“Só podemos supor que os norte-coreanos estão tentando obter opiniões francas de pensadores para entender melhor a política dos EUA para o Norte e para onde ela pode estar indo”, disse DePetris.