Vários grupos de hackers patrocinados pelo Estado norte-coreano têm atacado empresas de defesa sul-coreanas há mais de um ano, roubando credenciais de login e dados confidenciais.
Um relatório da Reuters , citando as autoridades policiais da Coreia do Sul, afirma que três grandes atores de ameaças – Lazarus, Kimsuky e Andariel, têm perseguido organizações de defesa e prestadores de serviços terceirizados, plantando códigos maliciosos em sistemas de dados, extraindo senhas e informações técnicas.
A polícia conseguiu identificar os invasores rastreando seus endereços IP de origem, redirecionando a arquitetura dos sinais e as assinaturas do malware .
Lázaro ataca novamente
O relatório não indicava quais as organizações visadas, nem qual era a natureza dos dados, mas a Reuters deu a entender que a Coreia do Sul se tornou num “grande exportador global de defesa”, com novos contratos para a venda de obuses mecanizados, tanques e aviões de combate. Os negócios foram avaliados em bilhões de dólares.
Embora todos esses três atores de ameaças já tenham chegado às manchetes antes, o Grupo Lazarus é provavelmente o mais infame. Este grupo foi observado tendo como alvo empresas de criptomoedas no Ocidente, roubando milhões de dólares em criptomoedas, com as quais o governo norte-coreano aparentemente financia os seus programas de armas nucleares.
O maior roubo de criptografia que aconteceu até hoje é a violação de abril de 2022 na rede Ronin, que resultou no roubo de US$ 625 milhões em várias criptomoedas. A rede Ronin é uma ponte de criptomoeda desenvolvida pela mesma empresa por trás do imensamente popular jogo baseado em blockchain, Axie Infinity.
Uma ponte é um serviço que permite aos usuários transferir tokens criptográficos de uma rede para outra.
Além de Ronin, também foi confirmado que o Grupo Lazarus está por trás do ataque à ponte Harmony, que aconteceu em junho de 2022 e resultou no roubo de US$ 100 milhões.