Investigadores sul-coreanos atribuem ao grupo de hackers norte-coreano Lazarus o recente ataque cibernético que resultou no vazamento de cerca de 45 bilhões de won (US$ 36 milhões) em criptomoedas da UpBit, a maior corretora do país. De acordo com uma reportagem da agência coreana Yonhap News, fontes governamentais e da indústria confirmaram que a investigação segue esta linha. Está no plano dos investigadores uma vistoria in loco nas instalações da corretora.
A operadora da UpBit, a Dunamu, havia anunciado na quinta-feira (27) o ataque hacker à Upbit após verificar transferência não autorizada de 44,5 bilhões de won em ativos vinculados à Solana. A empresa garantiu que cobrirá integralmente o prejuízo com recursos próprios, buscando tranquilizar seus usuários.
A suspeita sobre o Lazarus, conforme detalhado pela Yonhap News, não é infundada. O mesmo grupo é apontado como o autor do roubo de Ethereum equivalente a 58 bilhões de won da UpBit em 2019. De acordo com as autoridades ouvidas pela agência, os métodos utilizados no ataque mais recente são extremamente semelhantes aos empregados no episódio anterior.
Método de ataque e motivação
Diferentemente de um ataque direto aos servidores, as evidências reportadas pela Yonhap sugerem que os hackers podem ter comprometido contas de administradores ou se passado por eles para autorizar as transações.
“Em vez de atacar o servidor, é possível que os hackers tenham comprometido as contas dos administradores ou se passado por eles para realizar a transferência”, detalhou um funcionário do governo à agência.
Especialistas relacionam o ataque ao contexto geopolítico, observando que Pyongyang intensificou seus esforços para angariar fundos estrangeiros. O Lazarus age como um braço financeiro crucial para o regime, que enfrenta severas sanções internacionais e escassez de moeda estrangeira.
Confira nossas sugestões de Pre-Sales para investir agora
Estratégia para lavar o dinheiro
A complexidade do grupo foi destacada por um oficial de segurança em declarações à Yonhap News, que explicou a tática pós-roubo.
“Essa é a tática de Lazarus: transferir criptomoedas para carteiras em outras corretoras e tentar lavar dinheiro“.
Esse processo, que envolve múltiplas transferências e conversões, visa dificultar ao máximo o rastreamento e a recuperação dos recursos.
Além disso, o momento do ataque também chama a atenção. Ele ocorreu um dia após a Naver Corp., maior operadora de buscadores da Coreia do Sul, anunciar a aquisição da Dunamu como uma subsidiária integral da Naver Financial. A coincidência de timing pode não ser acidental.
“Os hackers têm uma forte tendência à autoexposição“, comentou outro funcionário da área de segurança à Yonhap, sugerindo que o grupo pode buscar não apenas o lucro, mas também notoriedade e impacto midiático, escolhendo momentos de grande visibilidade para suas ações.
Entretanto, a investigação, com base nas informações apuradas pela Yonhap News, continua, com as autoridades focadas em rastrear os ativos digitais e entender em detalhes a brecha de segurança explorada pelo grupo Lazarus.