N.º 2: Precisamos falar sobre a Coreia do Norte
As origens de uma operação (ao que tudo indica, institucionalizada) criada para conduzir ataques contra empresas do setor de criptoativos.
Japão, Estados Unidos e Coreia do Sul lançaram um alerta conjunto no começo da semana passada instando organizações do mundo todo, sobretudo as de criptoativos, a melhorarem seus controles de segurança, devido à ameaça da Coreia do Norte. Segundo o documento, só em 2024, operações norte-coreanas roubaram US$ 659 milhões em cinco grandes assaltos contra empresas do setor. Isso é o equivalente a um pouco mais de R$ 4 bilhões. Daria para quitar a dívida do Corinthians, do São Paulo e do Atlético-MG e ainda sobraria R$ 258 milhões. Mas, como isso acontece? Como um país se especializou neste tipo de ataque?
A Coreia do Norte é um país fechado, uma ditadura totalitária, de modo que só posso responder essa pergunta com os recursos que tenho do lado de cá do “paralelo 38”. Mas posso dizer que dois momentos são importantes para entender o começo disso: o primeiro, em fevereiro de 2016, quando US$ 81 milhões foram subtraídos do Banco de Bangladesh em um ataque que, logo depois, descobrimos ser parte de uma operação com interesses bilionários. Já o segundo momento ocorreu entre abril e maio de 2017, quando o mundo foi afetado pelo malware WannaCry.
O caso do Banco de Bangladesh consistia em tomar o controle de contas no sistema SWIFT, o qual pode ser compreendido como se fosse uma grande rede interbancária por onde trafegam as transferências internacionais de dinheiro do mundo todo. Ou seja, quando você quer transferir um determinado valor do banco A no Brasil para um banco B em Cingapura, o banco A empacota uma “mensagem” em um formato específico da SWIFT e envia para o banco B através dessa rede.
Tudo isso é feito por sistemas automatizados. No entanto, à época do ataque, a SWIFT possuía uma página em que um representante do banco poderia montar e enviar essa transferência manualmente. Esta página era acessível por meio de usuário e senha que poderia ser complementado com outro fator de autenticação (por exemplo, um código aleatório temporário, acessível por meio de um app como o Google Authenticator). Isso tornaria a proteção da conta mais robusta, mas não foram todos os bancos que ativaram essa configuração. Então o plano era o seguinte: invadir a rede do banco, conseguir uma senha de uma pessoa que tivesse acesso ao sistema da SWIFT e que não tivesse ativado a autenticação multifator e fazer as transações antes que qualquer alarme soasse. No caso do Banco de Bangladesh isso aconteceu no feriado do ano novo chinês. Mas, como eu disse, os ataques afetaram múltiplos bancos.
Já a história do WannaCry começa entre os meses de abril e maio de 2017. Foi quando um grupo (ou uma pessoa) que assinava como The Shadow Brokers vazou uma ciberarma roubada da NSA chamada ETERNALBLUE, a qual explorava uma vulnerabilidade no Windows. Essa vulnerabilidade permitia disseminar um código malicioso entre todas as maquinas de uma rede tão rápido como fogo no mato seco.
Todo mundo teve acesso ao ETERNALBLUE, inclusive os norte-coreanos que embutiram essa arma em um malware que criptografava os dados da vítima e exigia um resgate em dinheiro para que o acesso aos dados fosse devolvido, o que chamamos de ransomware.
Sim… Essa história parece filme. Mas tudo está muito bem documentado com zilhões de artigos na imprensa. Sugiro, inclusive, esse livro do prof. Thomas Rid que tem um capítulo primoroso sobre o Shadow Brokers e que acaba desaguando nessa história. Só a título de curiosidade: o Shadow Brokers sumiu da mesma forma que apareceu e até hoje não sabemos nada a respeito de quem estava por traz dessa operação.
A Coreia do Norte disseminou o ransomware WannaCry no dia 12 de maio de 2017. Todo mundo lembra dessa data. E quem trabalhava em TI ou em segurança à época lembra muito bem do quanto sofreu nesse dia. Após as autoridades de vários países conduzirem suas investigações, todos os dedos foram apontados para a Coreia do Norte, sobretudo para um grupo chamado Lazarus.
Quando a gente busca pela ciberespionagem norte-coreana, o nome Lazarus automaticamente surge como o principal grupo que suportaria a maioria de suas operações. Na verdade, como documentou a Mandiant, Lazarus seria uma entidade que aglutina múltiplos grupos, os quais se traduzem na burocracia da inteligência estatal da Coreia do Norte, cada equipe com a sua função.
Estrutura da inteligência cibernética norte-coreana em 2023. Imagem: Mandiant
Embora as campanhas de espionagem com motivações típicas de coleta de inteligência não tenham sido interrompidas, ficou evidente que missões com objetivos financeiros passaram a fazer parte do trabalho do Lazarus e, de meados da década de 2010 para cá, isso tem afetado qualquer tipo de ativo financeiro. Startups do setor de criptomoedas têm sofrido mais, pois nem sempre a segurança dessas empresas tem o mesmo nível de robustez que a dos bancos e também porque as táticas para enganar as vítimas são do nível de uma agência de inteligência. Um exemplo disso são as operações do tipo Dream Job.
Pessoas ligadas ao Lazarus já criaram estruturas inteiras formadas por perfis falsos no LinkedIn com o objetivo de interagir com profissionais e oferecer empregos tentadores, sobretudo a pessoas de áreas de tecnologia, pois esses profissionais geralmente têm acesso a mais servidores ou sistemas numa rede do que um mero recepcionista, o que cria a oportunidade para uma série de outros ataques.
Os membros do Lazarus irão conduzir tantos turnos de conversação ou entrevistas forem necessários até que a vítima acredite que está concorrendo para uma vaga dos sonhos. Aí chega a etapa final, em que o suposto candidato tem que passar por um teste e, para isso, ele tem que baixar um código enviado pelo atacante. Ao executar esse código, pronto, a vítima se infectou com um malware e o Lazarus usará esse acesso para extrair qualquer coisa de interesse na empresa ou em outras organizações conectadas a ela. Depois basta dizer ao suposto candidato que ele não passou no teste (ou não dizer nada) e vida que segue.
No alerta da semana passada, Japão, Estados Unidos e Coreia do Sul, além de trazerem à tona as informações sobre esse notável volume de dinheiro roubado no ano passado, chamaram a atenção das empresas para a necessidade urgente de reforçar suas medidas de segurança, sobretudo para a importância de treinar as equipes de modo que as pessoas reconhecam essas táticas.
A chance de se encontrar o emprego dos sonhos pode aparecer para qualquer um e é com essa possibilidade (e esperança) que os atacantes jogam. O funcionário não precisa se tornar um detetive que desvende todas as etapas da ação criminosa, basta identificar indícios de que há algo estranho.
Medidas simples, como fazer uma busca pela pessoa que entrou em contato contigo em outras redes sociais ou pegar a foto do perfil dela e colocar no Google para checar se ela aparece com outro nome (ou se não aparece em lugar nenhum), podem ajudar a descobrir se vocês está se relacioando com com alguém de verdade. Na dúvida, não continue a conversa. Por trás de uma promessa de emprego dos sonhos pode estar o constrangimento de ter a rede de seu empregador atual atacada.
O QR Code que faltava na sua vida
A Microsoft documentou uma série de ataques da espionagem russa em que QR Codes falsos foram usados para fazer o acesso à conta do WhatsApp de diplomatas e de pessoas vinculadas a organizações da sociedade civil ligadas ao apoio à Ucrânia.
O ataque começa com um e-mail feito para se parecer com a comunicação de um funcionário do governo dos Estados Unidos em que a vítima é convidada a participar de um grupo no WhatsApp que supostamente envolveria entidades que estão ajudando o povo ucraniano. Tudo mentira.
A primeira mensagem contém um QR Code quebrado, feito pra não funcionar e que somente tem o objetivo de criar um engajamento com alvo. Caso a vítima responda a mensagem dizendo “olha, o QR Code não tá funcionando”, os operadores do ataque enviam outra mensagem com um link. Ao clicar nesse link, a vítima cairá em um site falso com um suposto convite para acessar o grupo por meio de outro QR Code.
Imagem: Microsoft
Resultado: as vítimas que escanearam o QR Code e seguiram os passos no site falso, cederam acesso à sua conta no WhatsApp para a espionagem russa.
A Microsoft afirma que estes ataques focaram em uma lista de alvos bastante seleta e por tempo limitado, dentro do mês de novembro do ano passado.
No horizonte
A última terça (14) foi Patch Tuesday, dia do mês em que muitos fabricantes publicam atualizações de software para corrigir vulnerabilidades. A Microsoft corrigiu 159 falhas, 3 delas estão sendo exploradas nesse momento por grupos de criminosos ou por operações bancadas por governos. Outra vulnerabilidade que está na mesma situação afeta firewalls produzidos pela Fortinet.
Uma pessoa que assina como Belsen_Group publicou, também no dia 14, um vazamento de dados num fórum frequentado por hackers de todo tipo, contendo senhas e diversos arquivos confidenciais de aproximadamente 15.000 firewalls da Fortinet. Se os dados forem reais e ainda válidos, eles poderiam permitir a invasão a todas essas redes por outras pessoas, além do Belsen_Group. O especialista em segurança Kevin Beaumont analisou o material e disse que ele é fruto da exploração massiva de uma vulnerabilidade corrigida pela fabricante em outubro de 2022, mas que tinha sido explorada em ataques antes disso.
Uma operação conduzida pelo FBI, em parceria com a polícia francesa e a empresa de segurança Sekoia deletou mais de 4 mil instalações do malware PlugX de computadores no mundo todo. O PlugX é uma ameaça bastante versátil, documentada, pelo menos desde 2013, como um malware usado por vários grupos chineses. Para fazer esse tipo de limpeza das máquinas infectadas, a Sekoia, com o apoio das autoridades policiais, teve que se infiltrar nos servidores que os chineses usavam para controlar essas 4 mil máquinas.
Enquanto recolhiam as suas caixas para dar espaço ao novo governo, a administração Biden publicou o seu decreto “sobre o fortalecimento e a promoção da inovação na segurança cibernética do país”. Nas pouco mais de 50 páginas, o documento inclui medidas sobre: segurança para a cadeia de suprimentos; práticas de proteção de software; papéis e responsabilidades de provedores de serviços de software e de nuvem e sobre o fortalecimento da segurança dos sistemas da administração federal, dentre outras coisas. O documento chama a atenção especificamente para a China, afirmando que “a República Popular da China apresenta a ameaça cibernética mais ativa e persistente ao governo dos Estados Unidos, ao setor privado e às redes essenciais de infraestrutura.”
Link Aleatório
Assuntos fora da pauta de hoje, os quais (acho) que vocês vão gostar.
Choque das civilizações - Na iminência do TikTok evaporar nos EUA (o que acabou não acontecendo), uma onda de americanos migraram, de pirraça, para outro app chinês que nem tem um nome ocidental, mas cuja tradução literal é RedNote. O Hard Fork tocou nesse assunto (além de ter montado uma lista engraçadíssima com coisas que o Mark Zuckerberg poderia fazer para aumentar energia masculina na Meta). Entretanto, sugiro esse vídeo em que o Atila Iamarino fala sobre os resultados que esse contato estranho no RedNote vem rendendo.
IA que bate em Chico, bate em Francisco - Nesse artigo, a poderosa Anne Neuberger fala sobre como as agências de inteligência vêm usando os modelos de inteligência artificial e acaba tratando do frequente assunto sobre como as novas tecnologias sacodem o equilíbrio de poder na espionagem.
“Don’t Believe the Hype” - Gostei dessa lista de previsões que a Qualys fez para o cenário de ameaças em 2025. Vejo a primeira “O uso crescente da IA não alterará os fundamentos das estratégias de segurança cibernética” como um hadouken no atual hype em torno da IA.
A página com o decreto do Joe Biden sobre cibersegurança já está fora do ar. Isso que ele fez, de publicar um documento de tamanha relevância, foi pura perda de tempo, pois o novo presidente imediatamente apagou tudo que ele fez da história. Ele teve 4 anos para fazer isso, e no final não deu em nada. :(