TÓQUIO – Bruce Klingner, um especialista veterano que pesquisa o nordeste asiático, recebeu um e-mail verificado do analista coreano Aidan Foster-Caster com um pedido para analisar um artigo sobre política nuclear, escrito por outro pesquisador, chamado Jamie Kwong, e prontamente aceitou. Iniciada a troca de mensagens, Klingner estranhou um link enviado em um dos e-mails e encaminhou para a equipe de TI para descobrir que havia caído numa armadilha. Nem Foster-Carter, nem Kwong haviam entrado em contato com ele.
Os supostos e-mails dos especialistas eram na verdade um malware. Klingner, pesquisador do centro de estudos Heritage Foundation, como sede em Washington, poderia citar meia dúzia de tentativas semelhantes contra ele, assim como muitos analistas que pesquisam Coreia do Norte. São os phishing, que se caracterizam em tentativas de fraude para obter ilegalmente informações – como número da identidade, senhas bancárias, número de cartão de crédito, entre outras – por meio de e-mail.
Segundo o relatório da empresa de segurança cibernética americana Mandiant, a prática do crime cibernético contra pesquisadores, funcionários do governo e jornalistas estão ligados a uma operação de espionagem digital cada vez mais prolífica na Coreia do Norte, que usa engenharia social e personas falsas para coletar informações. A Mandiant, que faz parte do Google Cloud, elevou o status de ameaça desses hackers para os chamados Advanced Persistent Threat 43, ou APT43. Pyongyang nega os crimes cibernéticos.
O relatório da empresa segue o alerta feito por agências de segurança sul-coreanas e alemãs na semana passada sobre o risco do mesmo crime cibernético. Segundo as agências, os hackers norte-coreanos estão em uma campanha para obter acesso às contas do Google das vítimas, com ataques através do navegador e do aplicativo do Google store.
Nos últimos anos, as tentativas se tornaram mais sofisticadas. Às vezes, não há links ou anexos. Segundo Klingner, que pesquisou a atividade cibernética norte-coreano, em vez disso, os hackers cultivam uma correspondência com especialistas para obter informações sobre políticas voltadas à Coreia do Norte fingindo serem especialistas verdadeiros de centros de estudos e de relatórios.
A Coreia do Norte é conhecida há muito tempo pelo escopo abrangente e sofisticado de armas cibernéticas. O caso mais infame é o hacker massivo na Sony Pictures em 2014 por causa de um filme que emulava o líder norte-coreano Kim Jong-un. Os hackers foram acusados de arrecadar milhões de dólares a cada ataque.
Mais da Coreia do Norte
Estrutura complexa
O relatório destaca a estrutura do cibercrime de Pyongyang, cada vez mais complexa. Grupos conhecidos e apoiados pelo regime são ligados a esquemas de grande escala, como o Lazarus Group, que a investigação conduzida por americanos diz ser responsável pelo caso da Sony. Segundo o chefe de análise de espionagem digital da Mandiant, Ben Read, outros grupos – como o APT43 – têm um foco mais restrito e complementam operações maiores, enquanto compartilham técnicas e trabalham em direção a um objetivo comum de apoiar as ambições nucleares de Kim.
“Isso mostra a especialização entre os diferentes grupos”, disse Read. “É uma burocracia. Não é apenas um grupo indiferenciado de hackers, mas há equipes que consistentemente, ano após ano, operam de uma forma que é reconhecível.”
O APT43 aplica o “golpe de longa duração” por meio de engenharia social agressiva, visando indivíduos sul-coreanos, japoneses e americanos com informações sobre negociações e sanções internacionais que afetam a Coréia do Norte e rouba criptomoeda para sustentar suas próprias operações, de acordo com pesquisadores da Mandiant.
É uma burocracia. Não é apenas um grupo indiferenciado de hackers, mas há equipes que consistentemente, ano após ano, operam de uma forma que é reconhecível
Ben Read, chefe de análise de espionagem digital da Mandiant
O grupo também teve como alvo empresas farmacêuticas e de saúde durante a pandemia de coronavírus, o que leva a Mandiant a concluir que as operações cibernéticas ocorridas na Coreia do Norte são “altamente responsivas às demandas da liderança de Pyongyang”.
Outros nomes dado ao grupo de hackers – que não tem nome específico e acabam nomeados por empresas de segurança cibernética de maneira individual, que tem seus próprios critérios – são: Kimsuky, Thallium, Velvet Chollima, TA406 e Black Banshee.
Segundo essas empresas, os hackers que operam no APT43 estão em atividade pelo menos desde 2012. Além dos alvos dos EUA, Coreia do Sul e Japão, eles também já visaram funcionários do Conselho de Segurança da ONU e de uma usina nuclear da Índia. Eles também estão envolvidos no roubo e lavagem de criptomoedas direcionados a usuários comuns, segundo Mandiant.
Em 2022, a Coreia do Norte roubou níveis recordes de ativos de criptomoeda por meio de vários métodos, segundo um esboço de um relatório da ONU obtido pela agência de notícias Reuters. Especialistas da ONU acusam hackers do país de roubar centenas de milhões de dólares de instituições financeiras por meio de trocas de criptomoedas para financiar os programas nucleares e de mísseis.
O roubo de criptomoedas está sob o foco dos relatórios porque a diminuição drástica do comércio do país com a China, que garante a sua sobrevivência econômica, e o aumento dos testes de mísseis mesmo com as sanções internacionais levantam questões sobre como o país financia seus testes.
Desde junho de 2022, a Mandiant rastreou mais de 10 milhões de tentativas de phishing usando tokens não fungíveis, ou NFTs, que movimentaram criptomoedas com sucesso, de acordo com a Mandiant. Depois que os investigadores identificam a criptomoeda roubada, os ladrões podem ter dificuldade em transformá-la em moeda tradicional.
