Bloomberg — Norcoreanos están plagiando currículos en línea y haciéndose pasar por personas de otros países para conseguir trabajo remoto en empresas de criptomonedas con el fin de ayudar a los esfuerzos de recaudación de dinero ilegal para su gobierno, afirman investigadores de ciberseguridad después de una advertencia de Estados Unidos sobre un esquema similar en mayo.
Los estafadores utilizan los datos que encuentran en perfiles legítimos de LinkedIn e Indeed para sus currículos con el fin de conseguir trabajo en empresas de criptomonedas estadounidenses, según los investigadores de seguridad de Mandiant Inc. (MNDT). Uno de los solicitantes identificados por Mandiant el 14 de julio afirmaba ser un “profesional innovador y de pensamiento estratégico” en la industria tecnológica y un desarrollador de software con experiencia. “El mundo verá el gran resultado de mis manos”, añadía el solicitante de empleo en una carta de presentación.
Se encontró un lenguaje casi idéntico en el perfil de otro usuario.
Las pruebas detectadas por Mandiant refuerzan las denuncias realizadas por el gobierno estadounidense en mayo. Estados Unidos advirtió que trabajadores informáticos norcoreanos están buscando empleo por cuenta propia en el extranjero haciéndose pasar por ciudadanos de otros países, en parte para recaudar dinero para los programas gubernamentales de desarrollo de armas. Los trabajadores informáticos afirman tener los conocimientos necesarios para realizar trabajos complejos como el desarrollo de aplicaciones móviles, la creación de plataformas de monedas virtuales y juegos para móviles, según el aviso de EE.UU.
Los trabajadores informáticos norcoreanos se encontraban principalmente en China y Rusia, y un número menor en África y el sudeste asiático, según EE.UU. También buscan contratos para trabajos freelance en países más ricos, como los de Norteamérica y Europa, y en muchos casos se presentan como teletrabajadores surcoreanos, japoneses o incluso estadounidenses, según la advertencia estadounidense.
Según los investigadores de Mandiant, al recopilar información de las empresas de criptomonedas, los norcoreanos pueden reunir información sobre las próximas tendencias de las criptomonedas. Estos datos (sobre temas como la moneda virtual ethereum (XET), los tokens no fungibles y las posibles fallas de seguridad) podrían dar al gobierno norcoreano una ventaja sobre cómo blanquear criptodivisas de una forma que ayude a Pyongyang a evitar las sanciones, dijo Joe Dobson, analista principal de Mandiant.
“Todo se reduce a las amenazas internas”, dijo. “Si alguien es contratado en un proyecto de criptomonedas, y se convierte en un desarrollador principal, eso le permite influir en las cosas, ya sea para bien o no”.
El gobierno de Corea del Norte ha negado sistemáticamente su implicación en cualquier robo con fines cibernéticos.
Otros sospechosos norcoreanos han inventado calificaciones de trabajo, con algunos usuarios que afirman en las solicitudes de empleo haber publicado un libro blanco sobre el intercambio de moneda digital Bibox, mientras que otro se hizo pasar por un desarrollador de software senior en una consultoría centrada en la tecnología blockchain.
Los investigadores de Mandiant dijeron que habían identificado múltiples personajes sospechosos de Corea del Norte en sitios de empleo que habían sido contratados con éxito como empleados independientes. Se negaron a nombrar a los empleadores.
“Se trata de norcoreanos que intentan ser contratados y llegar a un lugar donde puedan canalizar dinero al régimen”, dijo Michael Barnhart, analista principal de Mandiant.
Además, los usuarios norcoreanos, que dicen tener conocimientos de programación, han planteado preguntas en el sitio de codificación GitHub Inc, donde los desarrolladores de software discuten públicamente sus hallazgos, acerca de las tendencias más amplias en el mundo de las criptomonedas, según los investigadores de Mandiant.
Los trabajadores informáticos norcoreanos “buscan contratos por cuenta propia de empleadores ubicados en naciones más ricas”, según el aviso de 16 páginas publicado por EE.UU. en mayo. En muchos casos, los trabajadores norcoreanos se presentan como teletrabajadores surcoreanos, chinos, japoneses o de Europa del Este y con sede en EE.UU., según el aviso estadounidense.
En abril, Jonathan Wu, un ejecutivo de Aztec Network, una empresa de blockchain, describió la experiencia de realizar una entrevista de trabajo con un posible hacker norcoreano como algo que le dejó “un poco conmocionado”. “Aterrador, divertidísimo y un recordatorio de que hay que ser paranoico y comprobar tres veces tus prácticas de OpSec”, escribió, en un hilo de Twitter. Ni Wu ni la empresa respondieron a los mensajes en busca de comentarios.
En una táctica relacionada, presuntos piratas informáticos norcoreanos han replicado Indeed.com y lo han utilizado para recopilar información sobre los visitantes del sitio web, según Google, de Alphabet Inc. (GOOGL). Mediante la creación de sitios web que parecen ser reales, los espías pueden engañar a los solicitantes de empleo para que envíen su currículum, iniciando así una conversación que podría permitir a los piratas informáticos vulnerar su máquina o robar sus datos, según Ryan Kalember, vicepresidente ejecutivo de la empresa de seguridad de correo electrónico Proofpoint Inc.
Otros dominios falsos, creados por presuntos operadores norcoreanos, suplantaron a ZipRecruiter, una página de carreras de Disney y un sitio llamado Variety Jobs, según Google.
“Vemos un torrente de esto todos los días”, dijo Kalember. “Su capacidad para idear empresas de cobertura convincentes es cada vez mejor”.
En febrero, la firma de seguridad Qualys Inc. (QLYS). dijo que detectó una campaña de phishing en la que el llamado Grupo Lazarus, un nombre que el gobierno de Estados Unidos a veces utiliza para describir a los hackers respaldados por Pyongyang, se dirigió a los solicitantes de empleo que solicitaron puestos en Lockheed Martin Corp.
Los hackers enviaron mensajes individuales que parecían proceder de Lockheed Martin, utilizando archivos adjuntos de correo electrónico que parecían incluir información de la empresa, pero que en realidad contenían software malicioso. La artimaña siguió a otros esfuerzos similares en los que los atacantes se hicieron pasar por BAE Systems Plc (BA) y Northrop Grumman Corp (NOC), según Qualys.
“Si nos fijamos en los anuncios de trabajo, están apelando al ego de la gente y al deseo de dinero”, dijo Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike Holdings Inc. (CRWD). “Están sacando provecho de eso, pero las listas de trabajo falsas son una táctica de apertura para sus ciberataques y espionaje más amplios”.
El enfoque de Corea del Norte en el robo de criptodivisas se produce después de que los hackers del país pasaran años robando dinero del sistema financiero mundial, dijeron los investigadores de Mandiant. Después de un notorio atraco en 2016 al Banco de Bangladesh, en el que EE.UU. acusó a los ladrones norcoreanos de intentar robar cerca de US$1.000 millones, los bancos mundiales añadieron salvaguardias destinadas a detener este tipo de infracciones.
“El mercado ha cambiado donde los bancos son más seguros, y la criptomoneda es un mercado totalmente nuevo”, dijo Dobson. “Hemos visto que van por los usuarios finales, por las plataformas de criptomonedas y ahora por los puentes de criptomonedas”.