Publicado originalmente por Wired
Um grupo de espionagem que trabalha para o regime de Kim tem fornecido moedas roubadas a serviços de mineração de criptomoedas em um esforço para desviar os rastreadores de seu rastro.
No ecossistema da criptomoeda, as moedas têm uma história, rastreada nas cadeias de blocos imutáveis que sustentam sua economia. A única exceção, em certo sentido, é a criptomoeda que foi gerada recentemente pelo poder computacional de seu proprietário. Portanto, parece que os hackers norte-coreanos começaram a adotar um novo truque para lavar as moedas que roubam das vítimas em todo o mundo: pagar suas moedas sujas e roubadas em serviços que lhes permitem minerar novas moedas limpas.
Hoje, a empresa de segurança cibernética Mandiant publicou um relatório sobre um prolífico grupo de hackers patrocinado pelo estado norte-coreano que agora está chamando de APT43, às vezes conhecido pelos nomes Kimsuky e Thallium. O grupo, cujas atividades sugerem que seus membros trabalham a serviço da agência de espionagem do Bureau Geral de Reconhecimento da Coréia do Norte, tem se concentrado principalmente em espionagem, hacking think tanks, acadêmicos e indústria privada dos EUA à Europa, Coréia do Sul e Japão desde a menos 2018, principalmente com campanhas de phishing projetadas para coletar credenciais de vítimas e plantar malware em suas máquinas.
Como muitos grupos de hackers norte-coreanos, o APT43 também mantém uma atividade secundária no cibercrime com foco no lucro, de acordo com Mandiant, roubando qualquer criptomoeda que possa enriquecer o regime norte-coreano ou até mesmo financiar as próprias operações dos hackers. E como os reguladores em todo o mundo aumentaram seu controle sobre os serviços de câmbio e lavagem que ladrões e hackers usam para sacar moedas contaminadas criminalmente, o APT43 parece estar tentando um novo método para sacar os fundos que rouba, evitando que sejam apreendidos ou congelados: Ele paga essa criptomoeda roubada em “serviços de hashing” que permitem que qualquer pessoa alugue tempo em computadores usados para minerar criptomoedas, colhendo moedas recém-extraídas que não têm vínculos aparentes com atividades criminosas.
Esse truque de mineração permite que o APT43 aproveite o fato de que a criptomoeda é relativamente fácil de roubar, evitando a trilha forense de evidências que ela deixa nas blockchains, o que pode dificultar o saque dos ladrões. “Isso quebra a corrente”, diz Joe Dobson, analista de inteligência de ameaças da Mandiant. “Isso é como um ladrão de banco roubando prata de um cofre de banco e depois indo a um garimpeiro e pagando ao mineiro com prata roubada. Todo mundo está procurando a prata enquanto o ladrão de banco anda por aí com ouro recém-extraído.
A Mandiant diz que começou a ver sinais da técnica de lavanderia baseada em mineração do APT43 em agosto de 2022. Desde então, dezenas de milhares de dólares em criptografia fluem para serviços de hash – serviços como NiceHash e Hashing24, que permitem que qualquer pessoa compre e venda poder de computação para calcular as sequências matemáticas conhecidas como “hashes” que são necessárias para minerar a maioria das criptomoedas – do que acredita serem carteiras criptográficas APT43. A Mandiant diz que também viu valores semelhantes fluirem para carteiras APT43 de “pools” de mineração, serviços que permitem que os mineradores contribuam com seus recursos de hash para um grupo que paga uma parte de qualquer criptomoeda que o grupo extraia coletivamente. (A Mandiant se recusou a nomear os serviços de hash ou os pools de mineração dos quais o APT43 participou.)..
Veja o artigo completo no site Wired