Como as táticas norte-coreanas de roubo de credenciais foram expostas pelo dump “Kim”

 (dti.domaintools.com)
2 pontos por GN⁺ 2025-09-07 | 1 comentários | Compartilhar no WhatsApp
  • Recentemente, o incidente do dump “Kim” revelou as táticas de roubo de credenciais da Coreia do Norte
  • Hackers norte-coreanos usam ativamente sites de phishing e técnicas de engenharia social
  • Eles têm como principais alvos países ocidentais e empresas de TI
  • O método de ataque está principalmente relacionado ao roubo de informações de contas de e-mail
  • Com essa revelação, empresas dos EUA e de outros países estão elevando o nível de alerta em segurança

Visão geral do incidente do dump “Kim”

  • O recente incidente do dump “Kim” revelou que a Coreia do Norte conduzia, de forma planejada, uma operação de roubo de credenciais em larga escala
  • Esse vazamento de dados foi compartilhado em várias plataformas de TI e comunidades, expondo os métodos concretos usados no ataque

Principais métodos de invasão da Coreia do Norte

  • Grupos de hackers norte-coreanos coletam informações de login dos usuários por meio de e-mails de phishing e sites falsos semelhantes aos originais
  • Esses sites de phishing são criados para se parecer muito com os legítimos, de modo que, quando a vítima insere os dados da própria conta, o roubo ocorre automaticamente
  • Técnicas de engenharia social também são usadas de forma ativa para explorar vulnerabilidades psicológicas dos usuários

Alvos e objetivos dos ataques

  • Os principais alvos são empresas de TI do Ocidente, como dos EUA e da Europa, além de organizações ligadas à segurança
  • Dentro das organizações, profissionais com alto nível de acesso, como equipes de RH, desenvolvedores e administradores de sistemas, são alvos prioritários
  • Foi confirmado que o objetivo das credenciais roubadas é obter acesso a informações internas e garantir rotas para ataques adicionais

Significado e impacto em segurança

  • O dump “Kim” permite observar os métodos reais de ataque da Coreia do Norte e sinais de evolução tática
  • No setor global de TI, estão se intensificando as discussões sobre reforço da postura de segurança e revisão das políticas de gestão de credenciais
  • Empresas e instituições relacionadas estão reforçando o monitoramento em tempo real e o treinamento de resposta a phishing

Conclusão e desafios futuros

  • As atividades dos grupos de hackers norte-coreanos estão evoluindo continuamente, com métodos cada vez mais sofisticados surgindo
  • É necessário elevar a consciência de segurança entre profissionais de TI e em toda a organização, além de construir uma estrutura de resposta em múltiplas camadas

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-07
Opiniões do Hacker News

  • Acho que os hackers responsáveis por este vazamento são exatamente essas pessoas; veja este artigo na phrack.org

    • Dá para ver a visão elitista clássica de hacker em frases como: "Eu sou um hacker, e sou o oposto de vocês. No meu mundo, todos são iguais. Não temos cor de pele, nacionalidade, objetivo político e não somos escravos de ninguém". Mas esse espaço onde "todos são iguais" é uma fantasia que só funciona de fato para certos tipos de pessoas

  • O que torna este caso interessante é a ligação entre a DPRK (Coreia do Norte) e a PRC (China). É difícil saber quão profunda é a coordenação entre as duas, mas claramente não são totalmente independentes. Fico curioso se esse tipo de acusação pública torna mais difícil para a PRC negar envolvimento com a DPRK e com suas próprias atividades

    • Mesmo que Pequim esteja insatisfeita com as ações de Pyongyang, a Coreia do Norte é estrategicamente importante demais para a China, então parece improvável que o apoio chinês vacile ou que eles tentem escondê-lo
    • Por enquanto, não parece haver uma prova definitiva que torne impossível para a PRC negar seu envolvimento
    • O apoio da China à Coreia do Norte já não é segredo, e é algo em nível semelhante ao apoio dos EUA à Coreia do Sul. Do ponto de vista geopolítico, a China tem até uma justificativa maior. Para entender esse contexto, vale consultar a Monroe Doctrine. A Crise dos Mísseis de Cuba também seria mais corretamente vista como a Crise dos Mísseis da Turquia. Quando os EUA posicionaram mísseis nucleares Jupiter na Turquia, a União Soviética respondeu com um posicionamento equivalente em Cuba. No fim, o mundo quase chegou à guerra mundial, mas a União Soviética recuou e, em sigilo, os mísseis na Turquia também foram retirados. Veja Monroe Doctrine e informações sobre os mísseis Jupiter
    • Na comunidade de segurança da informação, a conexão China-Coreia do Norte é algo amplamente conhecido. A China foi o primeiro país do mundo a criar oficialmente uma unidade militar cibernética. A Coreia do Norte veio depois com foco em ganhar dinheiro e até garantiu imóveis como hotéis no território continental chinês para usar como base operacional. A China também atua, na prática, como uma espécie de “lavanderia”, recebendo dólares do comércio com a Coreia do Norte e fornecendo suprimentos

  • Dizem que os dados vazados mostram o uso de repositórios do GitHub para ferramentas ofensivas como TitanLdr, minbeacon, Blacklotus e CobaltStrike-Auto-Keystore. Fico me perguntando por que o Github permite o desenvolvimento desse tipo de ferramenta. Não sei se é apenas uma questão de liberdade de expressão ou se essas ferramentas também têm valor acadêmico

    • Essas ferramentas são usadas com frequência em testes de invasão e operações de red team. Proibi-las publicamente só faria com que os defensores deixassem de conhecer os métodos dos atacantes, sem atrapalhar de fato hackers maliciosos. Essa conclusão já apareceu várias vezes nos debates dos anos 90 e 2000
    • São ferramentas usadas principalmente por pesquisadores de segurança e pentesters
    • Então fico me perguntando qual seria a alternativa
    • Será que o GitHub não deveria bloquear países sob sanções, como Irã ou Coreia do Norte? Veja a política oficial

  • Ouvi dizer que, na Coreia do Norte, é difícil para pessoas comuns aprenderem sobre computadores ou possuírem um. Dizem que só uma pequena elite é selecionada e treinada, então é bem surpreendente que consigam obter tecnologia de ponta e realizar ataques

    • Os hackers norte-coreanos provavelmente estão entre os melhores do mundo. Isso é plausível se o governo seleciona estudantes cedo e lhes dá treinamento intensivo. No Ocidente, a educação é generalista e até o ensino universitário é diferente do trabalho real de hacker. Um hacker ocidental de 22 anos talvez só tenha 6 meses de estágio, enquanto um hacker norte-coreano nessa idade pode já ter acumulado vários anos de experiência
    • As equipes norte-coreanas também obtêm bons resultados em várias competições de programação, então parecem bastante competentes em formar uma elite enxuta de talentos de TI
    • Há quem diga que é surpreendente eles hackearem com tecnologia de ponta, mas selecionar talentos não é algo tão difícil; se você oferece a essas pessoas a melhor motivação e as melhores condições, é até natural que surjam hackers altamente capazes

  • O conjunto de dados vazado ligado a um operador chamado "Kim" mostra de forma concreta como são as operações cibernéticas da Coreia do Norte. Ainda assim, é difícil entender por que esses hackers deixaram rastros tão evidentes. Em vez de plantar indícios mais sutis de desvio, por que deixaram um rastro de migalhas levando até Pyongyang?

  • Este tema tem muitos pontos tecnicamente interessantes. Parte da infraestrutura usa ferramentas que também são utilizadas por pentesters e outros profissionais de segurança, o que mostra que não existe algo como uma “arma puramente defensiva”. Mas, ao mesmo tempo, a discussão pode migrar facilmente para críticas à Coreia do Norte e à China. Para apontar essa duplicidade, basta dizer “Stuxnet” e “Pegasus”

  • A ligação com a China (Opção A/B) parece um pouco exagerada. Pode ser simplesmente que hackers norte-coreanos atuem a partir da China por causa do acesso à internet. Como a Coreia do Norte não tem internet pública, eles podem estar na China só para usar a internet, sem que isso signifique necessariamente fingir ser chineses ou serem controlados pelo lado chinês

  • É uma análise muito detalhada do workflow de um APT. Ao ver esse nível de detalhe, existe o risco de que atacantes mais comuns tentem copiar métodos parecidos para alcançar esse nível

    • Há, sim, o risco de que a divulgação de informações gere imitadores, mas, por outro lado, ela também pode fornecer base de julgamento para quem precisa montar estratégias de defesa contra esse tipo de atacante. Na prática, é impossível impedir que a informação fique disponível apenas para um dos lados