Hackers suspeitos da Coreia do Norte invadiram um software usado por milhares de empresas nos Estados Unidos. Especialistas alertam que o ataque pode levar meses para ser totalmente controlado e avaliar todos os danos.

Os especialistas que estão investigando o caso disseram à CNN que esperam uma campanha de longo prazo para roubar criptomoedas e financiar o regime norte-coreano, que costuma usar o dinheiro roubado em seus programas nucleares e de mísseis.

Na manhã de terça-feira (31), por cerca de três horas, os hackers ligados a Pyongyang tiveram acesso à conta de um desenvolvedor responsável pelo Axios, um software de código aberto.

Durante esse tempo, eles enviaram atualizações maliciosas para todas as empresas que baixaram o software. Isso provocou uma corrida para retomar o controle da conta e para que especialistas em segurança avaliassem os danos.

O Axios é usado por empresas de diversos setores, da saúde às finanças, para construir e gerenciar seus sites. Algumas empresas de criptomoedas e companhias de tecnologia que trabalham com criptoativos também usam o software.

A Mandiant, empresa de inteligência cibernética do Google, disse que um grupo de hackers da Coreia do Norte é responsável pelo ataque.

“Prevemos que eles tentarão usar o acesso que conseguiram neste ataque para roubar criptomoedas de empresas”, disse Charles Carmakal, diretor de tecnologia da Mandiant, à CNN. “Provavelmente levará meses para avaliar o impacto total desta campanha.”

John Hammond, pesquisador de segurança da Huntress, afirmou que sua empresa identificou cerca de 135 dispositivos comprometidos, pertencentes a aproximadamente 12 empresas. Mas isso representa apenas uma pequena parte das vítimas, que deve aumentar à medida que mais organizações descobrirem que foram hackeadas.

Este é apenas o último grande ataque à cadeia de suprimentos atribuído a Pyongyang. Há três anos, hackers norte-coreanos invadiram outro software popular usado por empresas de saúde e redes de hotéis para chamadas de voz e vídeo.

O corpo de hackers da Coreia do Norte é uma fonte crucial de receita para o país, que possui armas nucleares e está sob sanções internacionais. Nos últimos anos, hackers norte-coreanos roubaram bilhões de dólares de bancos e empresas de criptomoedas, segundo relatórios da ONU e de empresas privadas.

Um funcionário da Casa Branca disse em 2023 que cerca de metade do programa de mísseis norte-coreano é financiada por esses ataques digitais.

No ano passado, hackers do país roubaram US$ 1,5 bilhão (cerca de R$ 8 bilhões) em criptomoedas em um único ataque, o maior da história.

“A Coreia do Norte não se preocupa com sua reputação ou em ser identificada, então, embora essas operações sejam muito visíveis, é um preço que eles estão dispostos a pagar”, disse Ben Read, diretor de inteligência estratégica da Wiz, também do Google.

Hammond descreveu o ataque como “perfeitamente cronometrado”, por causa do uso crescente de agentes de inteligência artificial que desenvolvem software nas empresas “sem revisão ou proteção”.

“A maior vulnerabilidade de toda a cadeia de suprimentos de software hoje é que há uma porta aberta, porque muitas pessoas não conferem mais o que está sendo incluído nos componentes”, explicou Hammond à CNN.