O Google divulgou um relatório em março que detalha uma série de ataques cibernéticos orquestrados por hackers da Coreia do Norte, que resultaram no roubo de milhões de dólares de uma empresa do setor de Criptomoedas. O documento foi elaborado pelo Google Threat Intelligence Group (GTIG) e revela as sofisticadas táticas utilizadas pelos criminosos.
Métodos de ataque sofisticados
Os pesquisadores identificaram que os invasores empregaram técnicas de engenharia social e exploraram mecanismos de transferência de dados ponto a ponto (P2P) para infiltrar-se nos sistemas da empresa. O ataque teve início com a contaminação do dispositivo de um funcionário, que inadvertidamente baixou um arquivo malicioso disfarçado de um projeto de código aberto.
A partir deste ponto, os hackers conseguiram executar um código malicioso que se disfarçava como uma ferramenta legítima, o que lhes permitiu acessar a nuvem da empresa sem levantar suspeitas. Utilizando uma estratégia conhecida como "living-off-the-cloud" (LOTC), os criminosos imitaram usuários normais para obter credenciais e manipular bancos de dados, facilitando o roubo de criptomoedas.
Infiltração na rede corporativa
Após comprometer a máquina de um desenvolvedor, os hackers conseguiram uma porta de entrada para a rede corporativa. O Google detalha que o código malicioso estabeleceu uma comunicação com domínios controlados pelos invasores, permitindo que eles acessassem informações privilegiadas e explorassem a infraestrutura da empresa.
Os hackers realizaram um reconhecimento abrangente dos serviços em nuvem disponíveis, obtendo chaves de acesso que lhes possibilitaram realizar alterações significativas nas configurações de rede e gerenciamento de dados. Com esses privilégios, eles conseguiram acessar bancos de dados críticos e realizar comandos SQL, resultando em modificações indevidas nas contas de usuários, como redefinição de senhas e atualizações de autenticação multifatorial.
Impacto financeiro significativo
Os ataques culminaram na retirada de milhões de dólares em criptomoedas, utilizando contas comprometidas para facilitar as transações. Embora o Google tenha relatado os detalhes do ataque, a identidade da empresa alvo não foi divulgada.
O relatório também aborda a importância de medidas preventivas para evitar que incidentes semelhantes ocorram em outras organizações. O Google recomenda que as empresas adotem uma estratégia de defesa rigorosa, que inclua validação de identidade, restrição na transferência de dados em terminais e isolamento em ambientes de nuvem.
Além deste ataque específico, o relatório do Google também discute outras ameaças, incluindo vulnerabilidades de software, roubo de identidade e dados, e ataques perpetrados por insiders maliciosos. A crescente sofisticação dos ataques destaca a necessidade urgente de as empresas reforçarem suas medidas de segurança cibernética.
