A Coreia do Norte, oficialmente a República Popular Democrática da Coreia (RPDC), é um dos principais atores de ameaças cibernéticas atualmente.
 |
| coreia do norte |
As capacidades cibernéticas são uma extensão dos objetivos nacionais e da estratégia militar do estado.
A falta de salvaguardas globais de baixo custo e baixo risco com rendimento potencialmente alto torna o cibercrime uma escolha natural para o regime norte-coreano, que foi pioneiro com sucesso em um novo modelo de cibercrime patrocinado pelo estado que poderia criar um perigoso plano para outros estados invasores.
Como uma nação que está sob grande pressão política e financeira internacional, a Coreia do Norte tem uma longa história de trazer capital para o país por meios ilícitos e fortemente dependente de recursos ilegais .
Atividades para evitar sanções, como falsificação, contrabando de metais, pedras preciosas, dinheiro, comércio de armas, jogos de azar e operações de transporte ilegal.
O crime cibernético é apenas uma extensão esperada dessa estratégia e corresponde à abordagem mais ampla do estado e aos objetivos nacionais. Como tal, o crime cibernético se tornou o principal meio de geração de receita para a Coreia do Norte, ajudando o estado a trabalhar fora das sanções internacionais e garantir a continuação do regime de Kim Jong-Un. Este líder norte-coreano vê a ciberguerra como "uma espada para todos os fins que garante a capacidade de ataque implacável das Forças Armadas do Povo Norte-Coreano, junto com armas nucleares e mísseis".
Grupos norte-coreanos de ameaças persistentes avançadas (APT) alavancam o crime cibernético para financiar o desenvolvimento nuclear do estado, lado a lado com a coleta de inteligência e campanhas de espionagem.
Grupos APT norte-coreanos realizaram inúmeros ataques cibernéticos em mais de 30 países, com um número relatado de aumento de 300% no volume de atividade desde 2017. Os ataques foram contra vários setores, incluindo energia, finanças, governo, indústria, tecnologia e telecomunicações.
Desde janeiro de 2020, os atores de ameaças norte-coreanas visavam esses setores na Argentina, Austrália, Bélgica, Brasil, Canadá, China, Dinamarca, Estônia, Alemanha, Hong Kong, Hungria, Índia, Irlanda, Israel, Itália, Japão, Luxemburgo, Malta, Holanda, Nova Zelândia, Polônia, Rússia, Arábia Saudita, Cingapura, Eslovênia, Coréia do Sul, Espanha, Suécia, Turquia, Reino Unido, Ucrânia e Estados Unidos.
Algumas estimativas sugerem que os lucros do cibercrime para a Coreia do Norte podem chegar a US $ 1 bilhão a cada ano. De acordo com o Conselho de Segurança das Nações Unidas até US $ 2 bilhões já estão entrando diretamente no programa de armas do país.
O modelo de cibercrime da Coreia do Norte poderia criar um modelo para outras nações desenvolverem programas semelhantes. Sem uma ação internacional, isso poderia resultar em uma escalada da guerra de guerrilha cibernética, colocando todas as nações em risco significativo.
Como mencionei em um alerta da mídia hoje, “O mundo precisa começar a levar esta ameaça mais a sério.
Os ataques norte-coreanos costumam ser mais descarados e imprudentes do que os patrocinados por outros estados, porque eles não têm medo de serem pegos - isso os torna particularmente perigosos.
A Coreia do Norte jogou todo o livro de regras pela janela e isso dá aos cibercriminosos que patrocina liberdade para se envolver em ataques globais altamente destrutivos, como o ataque de ransomware WannaCry contra usuários do Windows em todo o mundo, que foi o primeiro ataque destrutivo nessa escala, afetando mais de 200.000 usuários em pelo menos 150 países. A Coreia do Norte está dando um exemplo que outros estados desonestos podem seguir; estados como a Bielo-Rússia podem ver que o cibercrime oferece a eles uma maneira de combater os piores efeitos das sanções,
Tentativas esporádicas e oportunistas de outros países desonestos já foram relatadas. Grupos APT apoiados pelo estado chinês, como APT27 e APT41, são conhecidos por monetizar seus alvos usando ransomware ou outros meios como parte de campanhas maiores de ciberespionagem. Na Rússia, algumas evidências sugerem que as unidades militares cibernéticas da Rússia usam recursos e infraestrutura militares para criar fluxo de caixa e fundos para corromper indivíduos nas forças armadas. Embora muito provavelmente sejam motivados por ganhos financeiros pessoais ou interesses de hobby e não façam parte de uma política de estratégia nacional mais ampla - pode ser apenas uma questão de tempo até que eles adotem o modelo norte-coreano.
Operadores cibernéticos da RPDC oferecem suporte a operações de vários grupos APT que provavelmente compartilham malware e recursos por meio de seu 'Reconnaissance General Bureau' (RGB) afiliado a militares, incluindo Lazarus Group, APT37, APT38 e Kimsuky, que são conhecidos por visar empresas e governos em todo o mundo via alvo e ataques destrutivos.
Algumas das operações dos grupos estão focadas quase exclusivamente no desenvolvimento e condução de campanhas com motivação financeira direcionadas a entidades internacionais, usando métodos como ransomware, esquemas de saque em caixas eletrônicos, criptomoeda e roubo de criptomoeda e até mesmo assaltos a bancos virtuais. Por exemplo, vimos o roubo de $ 101 milhões do Banco de Bangladesh por meio do sistema bancário SWIFT.
Vários desses ataques são caracterizados pelo uso de certificados de assinatura de código, que funcionam como identidades de máquina, permitindo que as empresas confiem no software que usam. A Coreia do Norte é um dos principais atores de ameaças lá fora. Como parte da estratégia nacional, seus recursos cibernéticos são muito avançados, tornando o uso de identidades de máquina e ataques complicados à cadeia de suprimentos apenas natural.
Em uma campanha em novembro de 2020, o Lazarus Group usou certificados de assinatura de código roubados para executar um ataque sofisticado à cadeia de suprimentos contra serviços financeiros e usuários de sites governamentais na Coreia do Sul. Lazarus, ativo desde 2009 e supostamente responsável pelo ataque contra a Sony Pictures Entertainment em 2014, aproveitou certificados de assinatura de código roubados de duas empresas de segurança sul-coreanas legítimas - uma das quais foi emitida para a filial dos EUA de uma empresa de segurança sul-coreana e executou um ataque à cadeia de suprimentos envolvendo um software necessário para usuários sul-coreanos ao acessar sites de bancos de serviços financeiros ou governamentais.
O uso de identidades de máquina de assinatura de código pela Coréia do Norte torna seus ataques particularmente difíceis de se defender. O roubo de identidades de máquinas de assinatura de código equipa os cibercriminosos norte-coreanos com a capacidade de fazer passar seu próprio software malicioso como software legítimo de um desenvolvedor genuíno.
Também permite que eles executem ataques devastadores à cadeia de suprimentos. O problema é que atualmente não há consciência e segurança suficientes em torno da importância das identidades das máquinas. Essa falta de foco permite que os cibercriminosos norte-coreanos tirem proveito de um sério ponto cego na cadeia de suprimentos de software. Sem mais coordenação e colaboração entre empresas e governos para lidar com as táticas usadas pelos cibercriminosos norte-coreanos, essas ameaças só vão piorar e outros párias globais perceberão suas próprias oportunidades.
Para obter mais informações, visite:
https://www.venafi.com/blog/north-korean-cyberattacks-can-inspire-other-rogue-nations
.png)
.jpg)
