El gobierno de Corea del Norte está robando detalles de perfiles legítimos de LinkedIn e Indeed para formar currículums falsos e infiltrar a trabajadores en empresas dedicadas a temas de criptomonedas en Estados Unidos, según un nuevo informe de la firma de ciberseguridad Mandiant.
El objetivo sería, según la consultora, obtener trabajos remotos, "recaudar" dinero para su gobierno, y traficar información sobre tendencias de temas cripto.
El reporte, dado a conocer por Bloomberg, detalla que los estafadores de Corea del Norte fueron detectados por la firma, y se refuerzan así las denuncias hechas por Estados Unidos. En estas, se advertía que trabajadores de Tecnologías de la Información (TI) de ese país estaban buscando obtener empleos independientes en el extranjero, mientras se hacían pasar por no norcoreanos y así conseguir fondos para los programas de gobierno de desarrollo de armas.
De acuerdo con Estados Unidos, los trabajadores de origen norcoreano, se ubican principalmente en China y Rusia, aunque también en África y el sudeste asiático, y apuntan a obtener contratos independientes en países más ricos en América del Norte y Europa, presentándose como "teletrabajadores" de Corea del Sur, Japón o incluso de Estados Unidos.
Según Mandiant, incluso estos postulantes afirmaban tener el tipo de habilidades necesarias para los trabajos, entre los que están el desarrollo de apps, creación de casas de cambio de moneda virtuales y hasta juegos móviles.
Obtener datos de primera mano
Los presuntos hackers llegaron a crear un sitio falso que parecía ser Indeed.com, y lo utilizaron para recopilar información sobre los visitantes, configurando el sitio para que pareciera real.
Esto les permitió engañar a los solicitantes de empleo para robar tanto el control de su equipo como de sus datos, según Ryan Kalember, vicepresidente de la firma de seguridad Proofpoint Inc.
Este sistema se vio replicado en otros dominios falsos que eran operados por norcoreanos, como ZipRecruiter, una página de empleo de Disney y otro llamado Variety Jobs, reportó también Google.
Buscando conocer las tendencias
La información retomada no solo le permitió a hackers infiltrarse como trabajadores externos en empresas, sino también recopilar información de las empresas de criptomonedas para conocer las próximas tendencias en temas como monedas virtuales, NFTs y posibles fallas de seguridad. Según el analista principal de Mandiant, Joe Dobson, esa información puede ser utilizada para que el gobierno norcoreano haga lavado de criptomonedas.
Además, si alguno de estos postulantes es contratado para un proyecto criptográfico y se convierte en un desarrollador central, tiene la posibilidad de influir en el proceso, "tanto para bien como para mal", según Dobson.
Por su parte, el gobierno de Corea del Norte ha negado su participación de cualquier robo cibernético en múltiples ocasiones, aunque Mandiant detalla que se habían identificado múltiples personas sospechosas con orígenes de Corea del Norte que ya habían sido contratadas con éxito como empleados independientes.
Usando sitios de la industria espacial para obtener información
También, según la firma de seguridad Qualys Inc, se detectó una campaña de phishing de Lazarus, el grupo de hackers de Corea del Norte, donde se enviaban mensajes individuales que parecían ser de Lockheed Martin (una empresa de la industria aeroespacial y militar) y se incluían archivos adjuntos con lo que parecía ser información de la empresa, pero en realidad tenían software malicioso, algo que también se vio cuando los atacantes se hicieron pasar por BAE Systems Plc y Northrop Grumman Corp.
Este último método coincide con el utilizado para hacer el hackeo a Axie Infinity en el mes de marzo, donde un trabajador abrió un correo con una oferta de trabajo y descargó un PDF que incluía un spyware, con el que los piratas tuvieron acceso a las claves para retirar fondos de la red Ronin.
Imagen: Petri Damstén
