Grupo é notório pelo interesse em ganho financeiro. Ações foram associadas a atividades mapeadas por outros especialistas.
É fundador de um site especializado na defesa contra ataques cibernéticos
Postado em 10 de julho de 2020 às 14h00m
* Post.N. -\- 3.789 *
A empresa de segurança Sansec identificou diversos elos entre os
ataques que desviam dados de cartões de crédito no processo de pagamento
em lojas on-line, que são monitorados pela companhia, e operações que
outros especialistas atribuíram a hackers norte-coreanos.
A fraude nas lojas, conhecida como "web skimming" ou "javascript
skimming", é realizada com a adulteração da página de pagamentos de
lojas on-line. Quando modificada, a página passa a capturar os dados do
consumidor e enviá-los a outro site que pertence aos criminosos.
A compra ainda ocorre na página oficial, sem sofrer qualquer interferência, mas os dados estarão na mão de criminosos.
O golpe também é conhecido pelo nome de "Magecart", em alusão ao
próprio código responsável por extraviar a informação, e possivelmente
ao software de e-commece Magento, que é frequentemente atacado nessas
fraudes. Segundo especialistas, vários grupos de hackers distintos
estariam envolvidos na atividade criminosa.
A Sansec diz que encontra de 30 a 100 lojas infectadas com esse código
por dia. Só uma parcela desses ataques seria de responsabilidade dos
hackers norte-coreanos.
O elo foi estabelecido com base nos endereços web usados para abrigar
as ferramentas de ataque e dados roubados da operação criminosa. Alguns
desses endereços são os mesmos que já foram atribuídos a operações de um
grupo de hackers conhecido como Lazarus ou "Hidden Cobra".
O Lazarus é conhecido por atacar o sistema bancário no mundo todo, além
de realizar fraudes com criptomoedas e espionar alvos sul-coreanos.
Especialistas consideram que o grupo seja patrocinado pelo governo
norte-coreano e tenha a finalidade de obter recursos para o regime.
Segundo a Sansec, os hackers norte-coreanos podem ter começado a utilizar a técnica em maio de 2019.
Isso significa que os norte-coreanos não estavam envolvidos nas
primeiras fraudes desse tipo, que começaram em 2017 e se intensificaram
em 2018 com a adulteração de sites como o da fabricante de celulares
OnePlus e da companhia aérea British Airways. A consultoria Gemini
Advisory informou que um grupo conhecido como Keeper, que atua com
ataques de Magecart desde 2017, já adulterou pelo menos 570 lojas.
Elo de infraestrutura
O rastreamento de ataques cibernéticos raramente é uma ciência exata.
Especialistas procuram indícios em arquivos para determinar o horário de
atividade dos invasores e a configuração do sistema usado, mas esses
detalhes podem ser forjados para criar uma operação de "bandeira falsa",
em que um país tenta incriminar outro.
Por essa razão, especialistas procuram associar a infraestrutura das
ações. Quando um grupo de hackers realiza uma invasão mais simples de
ser atribuída – pelos detalhes técnicos nos arquivos ou pelas
características do alvo -, outros ataques que utilizam a mesma
infraestrutura digital podem ser mapeados e relacionados.
Esse foi o caminho usado pela Sansec. A empresa descobriu que ações
contra certas lojas usaram as mesmas infraestruturas de ataque expostas
em relatórios das empresas de segurança Rewterz, EST Security, Fortinet e
Netlab360. Cada uma dessas empresas detalhou ataques diferentes, mas
todas apontaram semelhanças técnicas com ações anteriormente atribuídas
ao Lazarus.
Grupo tentou desviar US$ 1 bilhão e criou o WannaCry
Hackers patrocinados por governos normalmente têm interesses políticos
e, por isso, focam em espionagem. O Lazarus, da Coreia do Norte, é
conhecido por seu interesse financeiro, semelhante a gangues criminosas
comuns.
O governo dos Estados Unidos, que se refere ao grupo pelo nome de
"Hidden Cobra", alertou que esses invasores realizaram saques em pelo
menos 30 países depois de conseguirem acesso a sistemas responsáveis por
intermediar a comunicação entre os caixas eletrônicos e o banco,
dispensando a verificação de saldo.
Com isso, o golpe "FASTcash" causou
um prejuízo de milhões de dólares com saques de contas falsas praticamente zeradas.
Em 2016, o grupo teria sido o responsável por uma tentativa de desviar
US$ 1 bilhão de uma conta mantida pelo Banco Central de Bangladesh no
Federal Reserve em Nova York. A movimentação aconteceria em 35
transferências, mas ao menos 30 delas foram bloqueadas após um erro de
digitação levantar suspeitas nos operadores em Nova York e no Deutsche
Bank, que atuava como intermediário.
Mesmo assim, os invasores conseguiram transferir US$ 81 milhões a um
banco nas Filipinas, onde o montante foi sacado antes da conta ser
congelada.
O Departamento de Justiça dos Estados Unidos, por meio do FBI, acusou o
programador norte-coreano Park Jin Hyok de envolvimento no roubo. O
mesmo programador, segundo a autoridade policial americana, teria sido responsável pelo vírus de resgate WannaCry.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------