A CoinsPaid, uma empresa de pagamentos em criptomoedas com sede na Estônia, levantou suspeitas de que o Lazarus Group, um grupo de hackers norte-coreanos, conseguiu invadir seus sistemas usando recrutadores enganosos que visavam funcionários da agência.
De acordo com uma postagem no blog oficial , a CoinsPaid revelou que a violação, que resultou no roubo de mais de US$ 37 milhões em 22 de julho, foi orquestrada por meio de uma manobra na qual um funcionário foi induzido a baixar um software sob o disfarce de uma entrevista de emprego falsa, sob o falso disfarce de uma atribuição técnica.
A empresa divulgou que esse funcionário foi vítima de uma oferta de emprego propagada por hackers, baixando posteriormente o código malicioso que acabou facilitando o roubo de dados confidenciais pelos atores maliciosos e o acesso não autorizado à infraestrutura da empresa.
Financiamento do programa nuclear ilícito da Coreia do Norte
Suspeita-se que roubos de criptomoedas forneçam apoio financeiro à iniciativa pouco ortodoxa de armas nucleares da Coreia do Norte, com base em análises de especialistas do setor. O Lazarus Group, reconhecido por seu envolvimento em ataques cibernéticos, geralmente emprega metodologias de hacking semelhantes para atingir exchanges, blockchains e mixers, mesmo usando endereços de carteira criptográficos idênticos.
Sabemos exatamente como os invasores roubaram e lavaram US$ 37 milhões
A CoinsPaid convidou uma parceria com @MatchSystems , em colaboração com autoridades policiais e reguladoras, acompanha o processo de devolução de ativos #crypto roubados.
Leia mais: https://t.co/jLF3ICo603 pic.twitter.com/0gDy9CJcS7
— CoinsPaid (@coinspaid) 7 de agosto de 2023
Esse padrão de operação levou a CoinsPaid a concluir que o notório coletivo de hackers, afiliado ao governo norte-coreano, pode ser responsabilizado pelo referido hack.
CoinsPaid disse:
“Ao obter acesso à infraestrutura CoinsPaid, os invasores aproveitaram uma vulnerabilidade no cluster e abriram um backdoor.”
Os insights obtidos pelos autores na fase de exploração permitiram que eles “reproduzissem solicitações legítimas para interfaces de interação” com o blockchain e “retirassem os fundos da empresa de nosso cofre de armazenamento operacional”, acrescentou CoinsPaid.
A busca semestral de moedas paga pelo Lazarus Group
Ao longo de seis meses, o Lazarus Group se envolveu em um intrincado processo de observação e pesquisa meticulosa dos intrincados sistemas da CoinsPaid.
Seus esforços abrangeram uma ampla gama de metodologias de ataque, variando de táticas manipuladoras de engenharia social a abordagens técnicas, como ataques de negação de serviço distribuído e tentativas implacáveis de força bruta, enviando repetidamente inúmeras senhas na esperança de tropeçar naquela correta.
A saga começou em março, quando os hackers começaram a atacar a empresa . A empresa relatou a barragem implacável e notavelmente agressiva de spam e campanhas de phishing dirigidas aos membros de sua equipe durante esse período.
Em resposta, a CoinsPaid se uniu à Match Systems, uma empresa de segurança blockchain, para rastrear o caminho dos fundos roubados. A maioria desses ganhos ilícitos chegou ao SwftSwap.
De acordo com a CoinsPaid , uma infinidade de facetas nas transações dos hackers apresentava semelhanças impressionantes com o modus operandi do Lazarus, semelhante à violação da Atomic Wallet de US$ 35 milhões em junho anterior. A empresa declarou seu compromisso de monitorar cuidadosamente qualquer movimento associado a esses fundos roubados.
Imagem em destaque da Kyodo/AP Photo