Resumo

• Amazon identificou um infiltrado norte-coreano devido a um atraso de 110ms na digitação, indicando operação remota.
• O esquema envolvia uma cúmplice no Arizona (EUA), que mantinha o equipamento conectado, permitindo controle remoto pelos agentes.
• Desde abril de 2024, a Amazon detectou mais de 1.800 tentativas semelhantes, visando contornar sanções internacionais.

Uma diferença mínima no tempo de resposta de um teclado permitiu à equipe de segurança da Amazon identificar um impostor norte-coreano infiltrado no quadro de funcionários de TI. O caso, detalhado em uma reportagem da agência Bloomberg, ilustra a estratégia complexa utilizada por agentes da Coreia do Norte para burlar sanções internacionais.

Segundo Stephen Schmidt, diretor de segurança da empresa, os sistemas de monitoramento detectaram uma latência incomum na entrada de dados de um suposto funcionário remoto sediado nos Estados Unidos. Em condições normais, a digitação de um trabalhador localizado em território americano leva dezenas de milissegundos para chegar aos servidores da empresa.

No entanto, neste caso específico, o atraso (ou lag, na terminologia em inglês) no registro das teclas superava 110 milissegundos. Essa discrepância sugeriu aos especialistas que o operador não estava fisicamente onde alegava estar, mas sim controlando o dispositivo a partir de outro continente, possivelmente do outro lado do mundo.

Como funcionava o esquema?

O incidente começou a ser investigado quando o computador corporativo de um novo administrador de sistemas, contratado por uma empresa terceirizada, apresentou o padrão atípico. O notebook estava fisicamente no estado do Arizona, o que deveria garantir uma conexão rápida. A investigação confirmou que a máquina estava sendo operada remotamente, com o tráfego de dados sendo rastreado até a China, um ponto de conexão comum para agentes norte-coreanos.

A operação também dependia de uma rede logística em solo americano. Para o golpe funcionar, o infiltrado precisava de um cúmplice local para receber e manter o equipamento corporativo ligado. Uma mulher residente no Arizona atuava como facilitadora, recebendo os laptops enviados pelas empresas contratantes e mantendo-os conectados à internet. Isso permitia que os impostores norte-coreanos comandassem os dispositivos usando ferramentas de acesso remoto.

Essa tática cria a ilusão de que o funcionário está trabalhando a partir de um endereço nos Estados Unidos. A facilitadora foi identificada e, segundo um porta-voz da Amazon, condenada a vários anos de prisão em julho deste ano. O impostor, por sua vez, foi removido dos sistemas poucos dias após a detecção, sem acessar informações sensíveis.

Sinais de alerta

Os dados apresentados pela Amazon indicam que este não é um caso isolado, mas parte de uma campanha massiva. Desde abril de 2024, a gigante do varejo identificou e frustrou mais de 1.800 tentativas de infiltração ou contratação de norte-coreanos. O objetivo central desses trabalhadores é obter salários em moeda forte para financiar programas de armamentos da República Popular Democrática da Coreia (RPDC), contornando as restrições econômicas impostas pelos Estados Unidos e pela ONU.

O executivo da Amazon reforça que a detecção desses agentes exige uma postura ativa das corporações. A recomendação para o setor de tecnologia é intensificar a verificação de antecedentes, indo além das informações superficiais encontradas em redes sociais como o LinkedIn, e investir em ferramentas de segurança capazes de notar comportamentos suspeitos.

Atraso na digitação entrega infiltrado norte-coreano na Amazon

Resumo

• Smartphones norte-coreanos operam com software que monitora usuários e censura palavras em tempo real.
• De acordo com o youtuber Arun Maini, o sistema realiza capturas de tela automáticas e impede o uso de termos proibidos.
• As análises de um aparelho contrabandeado indicam que o acesso à internet é restrito a uma intranet nacional.

Smartphones utilizados na Coreia do Norte operam com uma camada de software projetada para vigiar os cidadãos. Uma análise de dois aparelhos contrabandeados, incluindo o modelo “Samtaesung 8”, confirma a presença de uma ferramenta no sistema operacional que faz capturas de tela aleatoriamente e bloqueia conteúdos.

As descobertas foram publicadas pelo youtuber Arun Maini, do canal MrWhosetheboxx, que teve acesso aos dispositivos. No vídeo, ele expõe como o governo modifica versões antigas do Android (10 e 11) para criar ferramentas de controle.

Apesar de manter a interface do Android e funcionar normalmente, os aparelhos bloqueiam funções, como acesso à internet global, e possuem mecanismos ativos de censura que reescrevem mensagens digitadas pelos usuários e restringem a instalação de aplicativos a processos físicos e burocráticos.

Agências de imprensa estatais e o governo costumam classificar essas restrições como medidas de defesa contra forças imperialistas (principalmente os Estados Unidos). Em 2020, Kim Jong-un assinou uma lei que proíbe o consumo de mídia estrangeira no país, incluindo conteúdos sul-coreanos, o que poderia explicar as restrições em smartphones e apps.

Vigilância através de prints

O recurso mais invasivo detalhado na análise é um sistema de monitoramento visual embutido. O software do telefone realiza capturas de tela automáticas e silenciosas sempre que o usuário abre um aplicativo.

Essas imagens são salvas em uma partição oculta e criptografada do armazenamento, impossível de ser acessada ou apagada pelo dono do aparelho, mas disponível para inspeção pelas autoridades.

O funcionamento corrobora denúncias anteriores sobre a infraestrutura de vigilância do país. Em junho, uma reportagem da BBC já havia detalhado um mecanismo similar em outro modelo norte-coreano, que registrava a tela do usuário a cada cinco minutos, criando um histórico permanente de atividade.

Além dos prints, o sistema operacional também é modificado para impedir o uso de termos proibidos ou politicamente sensíveis. Durante os testes, foi constatado que digitar “Coreia do Sul” seria impossível: o software intervém automaticamente, substituindo o nome do país vizinho por asteriscos ou pela frase “estado fantoche”. Outros termos comumente utilizados pelos sul-coreanos também são corrigidos.

Bloqueio de arquivos e apps “falsos”

A experiência de uso no Samtaesung 8 — aparentemente baseado no Huawei Nova 9 —, segundo Maini, é restrita a uma intranet nacional, sem conexão com a World Wide Web. O próprio ícone de Wi-Fi na central de controle não funciona, sendo necessário utilizar um app próprio do governo para estabelecer uma conexão.

Além disso, os aparelhos vêm pré-carregados com aplicativos que imitam interfaces populares, como jogos, streamings e mapa, mas possuem funcionalidades limitadas.

Para impedir o consumo de mídia estrangeira, o sistema utiliza um protocolo de assinatura digital. Se um usuário tentar transferir um arquivo de vídeo, foto ou música que não possua a assinatura criptográfica do governo norte-coreano, o arquivo é rejeitado e deletado automaticamente.

A instalação de novos softwares também é restrita. Não há uma loja de apps acessível online e, para instalar qualquer programa, o usuário deve visitar uma loja física aprovada pelo governo, onde técnicos realizam a instalação via cabo.

Com informações de Android Authority

Como são os smartphones da Coreia do Norte? Surgem novas pistas

💾

Resumo

• Agentes norte-coreanos infiltram-se em empresas globais usando identidades falsas e inteligência artificial, desviando até US$ 1 bilhão para o programa nuclear da Coreia do Norte.
• Empresas contratam sem saber, violando sanções e enfrentando possíveis penalidades; agentes recebem salários anuais de até US$ 700 mil, repassando a maior parte ao governo.
• A fraude envolve facilitadores globais, terceirização de trabalho para Índia e Paquistão e uso de “fazendas de notebooks” para acesso remoto.

Agentes norte-coreanos têm conseguido empregos remotos em companhias dos Estados Unidos e usado os salários recebidos para financiar o programa nuclear da Coreia do Norte. Segundo o FBI, a ação desviou um valor que pode chegar a US$ 1 bilhão, o que dá R$ 5,3 bilhões, em conversão direta.

A fraude usa identidades falsas ou roubadas e também busca se infiltrar em empresas da Europa, Arábia Saudita e Austrália. Especialistas em cibersegurança, organizações não governamentais e até mesmo a Organização das Nações Unidas (ONU) alertam para o problema.

Ao contratar um agente norte-coreano, empresas podem violar as sanções impostas ao país asiático, ficando sujeitas a penalidades por isso, mesmo sem ter conhecimento da real identidade do funcionário.

Como agentes conseguem empregos?

Segundo uma reportagem da revista Fortune, os agentes norte-coreanos usam inteligência artificial para criar personas baseadas em identidades reais, sejam elas compradas ou roubadas.

Essa fase do processo inclui até criar perfis detalhados no LinkedIn, com fotos manipuladas, histórico profissional e certificações técnicas. Como uma matéria da CNBC mostrou anteriormente, a IA é capaz até mesmo de alterar o rosto dos agentes para entrevistas por vídeo.

Passada a fase de recrutamento, o agente contratado trabalha normalmente. No caso das empresas de tecnologia, os infiltrados escrevem códigos, testam, discutem bugs e conversam pelo Slack, passando despercebidos pelos colegas e líderes.

O cargo pode variar: alguns conseguem vagas como especialistas em climatização, engenheiros e arquitetos. Nesses casos, recorrem à IA para fazer parte do trabalho e entregar as tarefas.

O objetivo é financeiro: segundo um painel da ONU, os agentes visam receber salários de US$ 100 mil anuais (cerca de R$ 535 mil, em conversão direta), chegando a mais de US$ 700 mil anuais (R$ 3,7 milhões) em alguns casos. Eles ficam com uma fatia de 10% a 30% dos rendimentos — o resto vai para as mãos do governo norte-coreano.

Para isso, os infiltrados miram vagas em todo tipo de empresa, de grandes bancos e companhias da Fortune 500 até startups de criptomoedas. Poucas revelam que foram vítimas de um golpe desse tipo, temendo danos à sua imagem. Uma exceção foi a Nike, que admitiu ter contratado um funcionário de TI norte-coreano sem saber.

Fraude está ficando mais complexa

A ação conta com facilitadores nos EUA e em outros lugares do mundo. Uma tarefa necessária, por exemplo, é administrar “fazendas de notebooks” e ligar os laptops de trabalho enviados a esses trabalhadores, para que eles possam acessar remotamente as máquinas.

Em uma ponta do processo, os agentes contratam americanos sob o pretexto de que eles serão representantes de um desenvolvedor estrangeiro que quer se estabelecer no país. O pagamento é de US$ 200 (R$ 1,1 mil) por semana.

Do outro lado, a ação também está se ramificando. Os infiltrados do governo norte-coreano passaram a “terceirizar” o trabalho para trabalhadores reais da Índia e do Paquistão, de acordo com investigadores, como forma de ganhar escala e dar conta dos empregos.

Segundo Roger Grimes, especialista da empresa de cibersegurança KnowBe4, há atualmente entre 1 mil e 10 mil empregados fake no mundo todo, e mais de 75 empresas foram afetadas. A própria KnowBe4 admitiu um funcionário norte-coreano com foto editada com IA e identidade roubada, o que mostra que ninguém está imune à fraude.

Coreia do Norte usa IA, cria funcionários falsos e obtém US$ 1 bilhão para programa nuclear