Hackers ligados ao governo da Coreia do Norte estão explorando falhas nos sistemas de segurança de e-mail para enviar mensagens falsas que parecem legítimas, em que se fazem passar por jornalistas ou acadêmicos. As agências federais dos EUA, incluindo o FBI, a Agência de Segurança Nacional (NSA) e o Departamento de Estado, publicaram um comunicado na semana passada alertando que o grupo de hackers Kimsuky têm como alvo políticas de relatórios, conformidade e autenticação de mensagens baseadas em domínio DNS (DMARC) configuradas incorretamente.
O DMARC é uma ferramenta de segurança usada por plataformas de e-mail para autenticar mensagens e fazer com que domínios populares não possam ser falsificados. Implementações bem-sucedidas do DMARC bloqueiam e-mails maliciosos que parecem vir de grupos de ameaças. Dependendo da configuração, um e-mail que falhe no teste de legitimidade pode ser marcado como spam ou bloqueado.
De acordo com as agências, os hackers norte-coreanos têm como alvo políticas DMARC configuradas incorretamente para fazer parecer que seus e-mails vêm de uma troca de e-mails de um domínio legítimo, permitindo-lhes se passarem por especialistas ou acadêmicos com ligações confiáveis aos círculos políticos norte-coreanos. A campanha acompanhada pelas agências durou do final de 2023 até o início deste ano.
“A Coreia do Norte aproveita essas campanhas de spear phishing para recolher informações sobre eventos geopolíticos, estratégias de política externa adversárias e qualquer informação que afete os interesses norte-coreanos, obtendo acesso ilícito a documentos privados, pesquisas e comunicações dos alvos”, afirmaram as agências.
O Kimsuky é um grupo de hackers que as agências de aplicação da lei acreditam ser operado pelo serviço de inteligência da Coreia do Norte, chamado de Escritório Geral de Reconhecimento (RGB, em inglês). O objetivo do grupo é continuar a “fornecer dados roubados e informações geopolíticas valiosas ao regime norte-coreano, comprometendo analistas políticos e outros especialistas.
Os hackers passam tempo pesquisando vítimas e adaptando e-mails de spear phishing para “parecerem mais realistas e atraentes para seus alvos”. Eles costumam usar conteúdo de e-mails de contas de e-mail comprometidas para aumentar a aparência de autenticidade de seus e-mails, de acordo com as agências dos EUA.
“Além de mensagens de e-mail convincentes, foram observados operadores do Kimsuky criando nomes de usuários falsos e usando nomes de domínio legítimos para se passar por pessoas de organizações confiáveis, incluindo grupos de reflexão e instituições de ensino superior, para ganhar confiança e construir relacionamento com destinatários dos e-mails”, diz comunicado conjunto das agências americanas.
Veja isso
ONU apura roubo de US$ 3 bi em criptoativos pela Coreia do Norte
Hackers ligados à Coreia do Norte miram profissionais de segurança
Segundo elas, pessoas nos EUA ou na Coreia do Sul que trabalhem em assuntos da Coreia do Norte, Ásia, China ou sobre o sudeste asiático deve estar atenta aos e-mails — especialmente funcionários do governo e membros militares. Mas alertam que outras regiões do mundo, como Europa, África e América Latina, devem estar atentas.
O comunicado alerta as pessoas para terem cuidado com e-mails com comunicação inicial supostamente inofensiva seguida de links estranhos ou documentos anexados de diferentes endereços de e-mail.
