HOPLIGHT: Outra tentativa da Coreia do Norte de se tornar um regime de hackers

Publicados: 2019-04-15

As tensões políticas entre a Coreia do Norte (formalmente conhecida como República Popular Democrática da Coreia) e os Estados Unidos estão em alta desde que o líder norte-coreano Kim Jong-un revelou seus planos de fabricar armas nucleares, aparentemente para acabar com seus “inimigos”. Ultimamente, a Coreia do Norte, sabendo que não pode superar os Estados Unidos em força militar e economia, recorreu ao sequestro de rede e ataques cibernéticos para tornar os EUA vulneráveis ​​e está tentando regularmente invadir arquivos e informações do governo. Os atacantes, que alegam ser organizações privadas e sem ligação com o governo norte-coreano, fizeram várias tentativas contra organizações privadas e instituições governamentais dos EUA. Eles chegaram a fazer ameaças abertas de ataques terroristas e massacres se as autoridades americanas não cedessem às suas exigências. Mais uma vez, os aparentes ataques cibernéticos financiados pelo Estado da Coreia do Norte atingiram as agências governamentais dos EUA com um novo malware chamado HOPLIGHT. O que o HOPLIGHT pode fazer e o que a Coreia do Norte é depois desse período?

Deve ler: Blocos de construção da segurança cibernética

Tentativas de ataque cibernético norte-coreano nos EUA

Tentativas de ataque cibernético norte-coreano nos EUA
Fonte da imagem: Bleep Computer

HOPLIGHT não é a primeira vez que ciberataques norte-coreanos têm como alvo uma entidade ou empresa dos Estados Unidos. Na verdade, isso vem acontecendo há quase meia década; e enquanto o regime norte-coreano continua a negar ter qualquer informação sobre esses ataques, é um fato mundialmente conhecido que o regime os tem apoiado regularmente.

Ciberataques norte-coreanos
Fonte da imagem: Recode

O primeiro grande ataque, que ganhou as manchetes, foi o Sony Pictures Hack, em que os invasores invadiram os servidores e redes da Sony Pictures, um estúdio de cinema americano. O ataque teve como alvo e-mails pessoais de chefes de estúdio, arquivos de dados, roteiros de próximos lançamentos de filmes e detalhes de alguns acordos contratuais em processo. As exigências eram para bloquear o lançamento de seu filme The Interview, que era uma zombaria para o líder norte-coreano Kim Jong-un. Os deleites dos ataques terroristas na exibição do filme forçaram o estúdio a ceder às exigências. O governo dos Estados Unidos então iniciou uma série de investigações.

Autoridades dos EUA rastrearam os ataques à Coreia do Norte
Fonte da imagem: ZDNet

Em 2017, um grupo de hackers chamado The Shadow Brokers usou uma vulnerabilidade do Microsoft Windows para realizar ataques cibernéticos em todo o mundo, sequestrando servidores corporativos e contas. Esse ataque de negação de serviço chamado Ransomware violou mais de 200.000 computadores em todo o mundo, e os invasores exigiram resgates em criptomoeda para revogar o bloqueio desses computadores. Foi então que o governo dos EUA aumentou as apostas sobre suas investigações em andamento e começou a cavar internacionalmente. Na época, as autoridades dos EUA rastrearam os ataques à Coreia do Norte e confirmaram as acusações oficiais, já havia sofrido mais ataques de sequestro em seus serviços de utilidade pública e redes elétricas.

Então, quem estava por trás desses ataques

Quem estava por trás dos ataques da Coreia do Norte
Fonte da imagem: Vox

O governo dos Estados Unidos, o Federal Bureau of Investigation (FBI) e o Departamento de Segurança Interna dos EUA (DHS) que esses ataques foram apoiados pelo grupo de inteligência coreano Reconnaissance General Bureau e foram orquestrados pelo Bureau 121, codinome Lazarus Group e chamado por muitos outros nomes. Diz-se que o Bureau 121 é uma equipe especializada de especialistas em segurança cibernética e hackers treinados, que são os únicos responsáveis ​​por realizar tais operações de violação em nações “inimigas” da Coreia do Norte. As investigações nomearam especificamente Park Jin-hyok, um suposto membro do Bureau 121, que foi o principal responsável por esses ataques. E, enquanto isso, o regime norte-coreano recusou a existência de qualquer desses grupos e se absteve de uma declaração oficial sobre esses ataques.

HOPLIGHT: O mais recente na linha de ataques de malware da Coreia do Norte

Ataques de malware norte-coreano HOPLIGHT
Fonte da imagem: GB Hackers

O grupo de ataque cibernético norte-coreano lançou agora um novo malware chamado HOPLIGHT, que está mais uma vez visando agências do governo dos EUA para obter informações e dados. Embora nenhuma conta oficial de qualquer ataque HOPLIGHT em uma organização pública ou privada ainda não tenha sido divulgada, o malware foi detectado e rastreado até a Coréia do Norte pela Equipe de Preparação para Emergências de Computadores dos EUA (CERT). O FBI e o DHS divulgaram informações de que esse novo malware atua como um trojan e pode ler, alterar e mover arquivos importantes no sistema. O malware também tem a capacidade de injetar códigos de vírus em processos de rede em execução e encerrá-los ou interrompê-los, o que pode criar interrupções no trabalho da agência. Além disso, o malware é capaz de alterar arquivos de registro, o que pode dificultar os dados armazenados em redes de órgãos públicos.

Malware rastreado até a Coreia do Norte pelos EUA
Fonte da imagem: Cyware

O CERT divulgou detalhes de nove tipos diferentes de arquivos, a maioria dos quais são aplicativos proxy, que estão sendo usados ​​para injetar HOPLIGHT em sistemas e redes. Os proxies carregam certificados SSL falsos e usam servidores de comando para realizar operações de violação.

HOPLIGHT é a novidade na cidade

Desde os ataques do Wannacry Ransomware, o CERT vem publicando ativamente relatórios sobre ataques cibernéticos maliciosos e possíveis detecções de malware para alertar as agências e organizações públicas. E nenhum desses relatórios abordou anteriormente algo como o HOPLIGHT e não incluiu nenhum endereço no HOPLIGHT. Aparentemente, o HOPLIGHT nunca foi usado antes e é o malware mais novo na lista de softwares maliciosos do Bureau 121.

Por que a Coreia do Norte continua seus ataques cibernéticos a agências dos EUA?

Ataques cibernéticos a agências dos EUA
Fonte da imagem: PYMNTS

A Coreia do Norte é um pequeno regime de ditadura, distante no leste e não é capaz de tomar nações supremas como a América. Não em frentes militares, pelo menos. A nação está cercada no mar por forças navais dos EUA e tem sido constantemente rebaixada pela mídia mundial devido às intenções maliciosas do líder norte-coreano Kim Jong-un contra a paz e a segurança mundiais. Além disso, o fraco sistema educacional e econômico do país deixou a nação sem um tostão e, portanto, os motivos por trás desses ataques também foram ganhos financeiros. E, claro, nenhuma nação pode realizar espionagem na frente, enquanto um invasor cibernético é indetectável ou, no entanto, é impossível apreender fora do alcance da aplicação da lei. Assim, ataques cibernéticos e violações de segurança cibernética continuam sendo a opção mais viável para a Coreia do Norte envolver ativamente na aquisição de informações e inteligência, uma prática seguida por todas as outras nações em espionagem.

Mas, como a Coréia do Norte é capaz de realizar essas violações?

É uma pergunta muito viável, dado o fato de que a Coreia do Norte foi capaz de executar ataques altamente impactantes, apesar da restrição de uma presença online em grande escala. A nação tem duas conexões de internet com o mundo exterior e, ainda assim, conseguiu se tornar um invasor cibernético mortal e bastante poderoso.

Coreia do Norte comete essas violações
Fonte da imagem: UPI

Isso ocorre porque o regime vem treinando os jovens extensivamente em segurança cibernética e hacking extensivamente. De acordo com relatórios de investigações do DHS e do FBI, os jovens da Coreia do Norte são avaliados em suas habilidades matemáticas e logarítmicas e são treinados para se tornarem especialistas em hackers em projetos financiados pelo Estado. Muitos desses hackers treinados residem em terras estrangeiras, vivendo disfarçados para fornecer inteligência local à Coreia do Norte.

Quão grande é o problema?

A mais recente interferência norte-coreana do HOPLIGHT
Fonte da imagem: Business Insider

Embora a mais recente interferência do HOPLIGHT norte-coreano tenha sido detectada, suas ameaças não podem ser negligenciadas tão cedo. A Coreia do Norte não ficou quieta desde os últimos dois anos sobre ataques de segurança cibernética e tem até seu envolvimento em qualquer um desses ataques sob o disfarce de conversas falsas e silêncio sobre o potencial desenvolvimento de armas nucleares. De fato, os ataques continuaram mesmo após uma reunião oficial entre o presidente dos EUA, Trump e Kim Jong-un. Então, o problema é muito grande e não parece desaparecer em breve.

A Coreia do Norte já tentou ataques diretos antes, mas HOPLIGHT é uma nova forma de espionagem para a Coreia do Norte, que ainda não alvejou oficialmente nenhuma organização.

Deve ler: Os dados governamentais e militares estão protegidos contra ataques cibernéticos?

A resposta para saber se a Coreia do Norte promoverá seus movimentos com o HOPLIGHT ou recuará à luz da divulgação antecipada de seu novo malware ainda não pode ser determinada. No entanto, com violações ininterruptas e tentativas de hackers de grupos apoiados pelo estado do país, significa que a experiência em hackers da Coreia do Norte precisa ser tratada.