0
0
Shimomura era membro da Yamaguchi-gumi, a maior família do crime yakuza no Japão. Quando um de seus superiores perguntou se ele queria fazer uma pilha de dinheiro rápido, ele naturalmente disse sim. Era 14 de maio de 2016, e Shimomura estava vivendo na cidade de Nagoya. Com 32 anos e magro, com olhos expressivos, ele se orgulhava de sua aparência, muitas vezes vestindo um terno e sapatos com brilho de espelho. Mas ele era uma figura menor na organização: um coletor de dívidas, um executor de empregos estranhos.
O superior assegurou-lhe que o esquema era de baixo risco, e instruiu-o a participar de uma reunião naquela noite em um bar em Nagoya. (Shimomura, que desde então deixou o Yamaguchi-gumi, pediu para ser referido apenas pelo seu sobrenome.) Quando Shimomura apareceu, ele encontrou três outros gângsteres, nenhum dos quais ele conhecia. Como muitos yakuza, ele é de ascendência coreana, e dois dos outros também eram coreano-japoneses; por um tempo, eles falaram em coreano. O superior finalmente chegou, e os cinco homens se mudaram para um quarto privado. Cada voluntário recebeu um cartão de crédito branco. Não havia chip no cartão, nenhum número, nenhum nome — apenas uma tira magnética.
As instruções superiores de leitura de um manual fino: no início da manhã seguinte, um domingo, eles devem ir a qualquer 7-Eleven e usar seu cartão branco no A.T.M da loja. Eles não podiam usar um banco regular A.T.M., ou um em outra loja de conveniência. Os gângsteres devem retirar cada um cem mil ienes de cada vez (cerca de 900 dólares), mas não fazer mais do que dezenove transações por máquina. Se alguém fizesse vinte saques de um único A.T.M., seu cartão seria bloqueado. Os saques podem começar às 5h. m. e continuar até 8 a. m. Os voluntários foram orientados a escolher a língua japonesa quando solicitados — uma indicação, Shimomura percebeu, que as cartas eram estrangeiras. Depois de fazer dezenove saques, eles devem esperar uma hora antes de visitar outro 7-Eleven. Eles poderiam ficar com 10% do dinheiro. O resto iria para os chefes. Finalmente, cada voluntário foi orientado a memorizar um pin.
No domingo de manhã, Shimomura levantou cedo, e vestido com jeans, óculos escuros, um boné de beisebol e uma camiseta velha. Ele caminhou até um 7-Eleven, onde comprou uma bola de arroz e uma Coca-Cola, para se estabelecer. Ele inseriu o cartão no .M. Quando a tela lhe perguntou qual língua ele preferia, ele sentiu um tremor de nervos enquanto selecionava “japonês”. Ele retirou cem mil ienes, depois outro, e depois outro. Não havia mais ninguém na loja além do cara no caixa, que não parecia interessado nele.
Depois de fazer a primeira retirada, Shimomura imprimiu um recibo. Ele viu um nome estrangeiro no recibo — ele não podia dizer qual era a nacionalidade do nome, mas sabia que não era japonês — então enfiou o recibo no bolso. Por volta das 8:00.m,tendo completado um total de 38 saques em vários A.T.M.s na área, ele foi para casa, balançando por causa de seus bolsos salientes: 3,8 milhões de ienes é muito dinheiro. Shimomura pegou seus 10% – cerca de 3.500 dólares – e escondeu-o em uma gaveta em seu apartamento. Às 15:00.m,ele encontrou seu superior para entregar o dinheiro restante. (Mais tarde, ele descobriu que um dos outros gângsteres tinha fugido com o dinheiro e o cartão.)
O superior disse a Shimomura que ele iria reter 5% do que seus voluntários trouxeram e enviar o resto do dinheiro para seus chefes. Quando Shimomura entregou seu dinheiro, ele sentiu que o superior tinha recrutado muitos outros. Ele estava certo. Como os jornais logo relataram, mais de dezesseis milhões de dólares foram retirados de cerca de 17001 7-Eleven A.T.M.s em todo o Japão naquela manhã, usando dados roubados do Banco Standard da África do Sul. Os jornais supuseram que o 7-Elevens tinha sido alvo porque eram as únicas lojas de conveniência no Japão cujos terminais de dinheiro todos aceitavam cartões estrangeiros. Logo após os ataques, o limite de retirada para muitos A.T.M.s no país foi reduzido para 50 mil ienes.
Shimomura deduziu que ele estava no fundo da cadeia alimentar no golpe. Os verdadeiros fazedores de dinheiro eram muito mais altos. O que ele não sabia, até uma entrevista a esta revista no ano passado, era a identidade dos vilões no topo da cadeia. Pouco depois dos roubos, de acordo com a polícia japonesa, o líder da operação 7-Eleven cruzou da China para a Coreia do Norte. Shimomura involuntariamente estava coletando dinheiro para o Exército Popular coreano, como parte de uma rede que ficou conhecida como FASTCash.
Em imagens de satélite do leste da Ásia à noite, as luzes brilham em quase todos os lugares, exceto em um trecho inky entre o Mar Amarelo e o Mar do Japão, e entre os 38 e os 43 paralelos: a Coreia do Norte. Apenas Pyongyang, a capital, emite um brilho reconhecívelmente moderno. O país sombrio é uma das últimas nações nominalmente comunistas do mundo — um culto de personalidade stalinista centrado em Kim Jong Un, o descendente cruel da dinastia que governa a Coreia do Norte desde 1948, depois que a península foi dividida. O D.P.R.K. pretende ser uma autarquia socialista fundado no princípio do juche, ou auto-confiança. Suas fronteiras estão fechadas e seu povo sequestrado. Os estrangeiros acham profundamente difícil entender o que está acontecendo dentro da Coreia do Norte, mas é ainda mais difícil para os cidadãos norte-coreanos comuns aprenderem sobre o mundo exterior. Uma pequena fração de um por cento dos norte-coreanos tem acesso à Internet.
No entanto, paradoxalmente, o governo norte-coreano produziu alguns dos hackers mais proficientes do mundo. À primeira vista, a situação é perversa, até cômica — como a Jamaica ganhando um ouro olímpico em bobsledding — mas a ameaça cibernética da Coreia do Norte é real e crescente. Como muitos países, incluindo os Estados Unidos, a Coreia do Norte equipou seus militares com armas cibernéticas ofensivas e de coleta de informações. Em 2016, por exemplo, codificadores militares de Pyongyang roubaram mais de duzentos gigabytes de dados do Exército sul-coreano, que incluíam documentos conhecidos como Plano Operacional 5015 — uma análise detalhada de como uma guerra com o vizinho do norte do país poderia prosseguir e, notadamente, um complô para “decapitar” a Coreia do Norte assassinando Kim Jong Un. A violação foi tão notória que Kim Tae-woo, ex-presidente do Instituto de Unificação Nacional da Coreia, um think tank em Seul, disse ao Financial Times: “Parte da minha mente espera que os militares sul-coreanos vazem intencionalmente os documentos confidenciais para o Norte com a intenção de ter uma segunda estratégia”.
A Coreia do Norte, aliás, é a única nação no mundo cujo governo é conhecido por conduzir hackers nus para ganho monetário. Unidades de sua divisão de inteligência militar, o Escritório Geral de Reconhecimento, são treinadas especificamente para este fim. Em 2013, Kim Jong Un descreveu os homens que trabalharam no “bravo R.G.B” como seus “guerreiros … para a construção de uma nação forte e próspera.
O programa de crimes cibernéticos da Coreia do Norte é liderado pela Hydra, com táticas que vão desde assaltos a bancos até a implantação de ransomware e o roubo de criptomoedas de exchanges online. É difícil quantificar o sucesso dos hackers de Pyongyang. Ao contrário dos grupos terroristas, os cibercriminosos da Coreia do Norte não reivindicam responsabilidade quando atacam, e o governo emite negações reflexivas. Como resultado, mesmo observadores experientes às vezes discordam ao atribuir ataques individuais à Coreia do Norte. No entanto, em 2019, um painel de especialistas das Nações Unidas sobre sanções contra a Coreia do Norte emitiu um relatório estimando que o país havia levantado dois bilhões de dólares através de crimes cibernéticos. Desde que o relatório foi escrito, houve evidências abundantes que indicam que o ritmo e a engenhosidade da ameaça on-line da Coreia do Norte aceleraram.
De acordo com a ONU, muitos dos fundos roubados por hackers norte-coreanos são gastos no programa de armas do Exército Popular coreano, incluindo o desenvolvimento de mísseis nucleares. A onda de crimes cibernéticos também tem sido uma maneira barata e eficaz de contornar as duras sanções que há muito foram impostas ao país. Em fevereiro, John C. Demers, procurador-geral assistente da Divisão de Segurança Nacional do Departamento de Justiça, declarou que a Coreia do Norte, “usando teclados em vez de armas”, havia se tornado um “sindicato criminoso com uma bandeira”.
Os líderes da Coreia do Norte estão sintonizados com as nefastas oportunidades de um mundo conectado desde pelo menos o início dos anos noventa. Um artigo de 2019 sobre o regime, escrito por estudiosos da Universidade da Coreia, em Seul, observa que Kim Jong Il, tendo assistido ao envolvimento militar dos Estados Unidos nos dois conflitos do Golfo, concluiu que “a guerra moderna é decidida pela conduta de uma guerra eletrônica”. (Entre outras táticas, aviões americanos bloquearam sistemas de radar iraquianos.) Em 2005, um livro do Exército Popular coreano citou Kim dizendo: “Se a Internet é como uma arma, ataques cibernéticos são como bombas atômicas”. Seu filho Kim Jong Un chegou ao poder em 2012 e viu o potencial comercial da tecnologia, observando que seu exército poderia “penetrar em quaisquer sanções”. A proeza cibernética, ele logo declarou, era uma “espada de todos os propósitos que garante às Forças Armadas do Povo norte-coreano uma capacidade de ataque implacável, juntamente com armas nucleares e mísseis”. No entanto, o Ocidente realmente não acordou para o perigo representado pelas forças cibernéticas da Coreia do Norte até que o país executou três crimes espetaculares, entre 2014 e 2017.
O primeiro foi um hack da Sony Pictures. Em junho de 2014, a Sony lançou um trailer de “The Interview“, uma comédia de Seth Rogen e James Franco sobre jornalistas infelizes recrutados pela CIA para assassinar Kim Jong Un. Um porta-voz do regime chamou o filme de “ato de terror” e prometeu uma “resposta impiedosa” se o estúdio continuasse com o lançamento do filme. A Sony avançou. (Rogen brincou no Twitter: “As pessoas não costumam querer me matar por um dos meus filmes até depois de pagarem 12 dólares por ele.”)
Em novembro, funcionários da Sony informaram que seus computadores haviam sido hackeados por um grupo chamado Guardiões da Paz. Depois que muitos dos computadores da empresa congelaram, a Sony desligou o resto, estancando o sangramento de dados que estavam em andamento. Por alguns dias, a Sony Pictures operou sem uma rede eletrônica e, nas semanas seguintes, os hackers vazaram embaraçoso — e, em alguns casos, danificando — e-mails, salários, registros médicos, filmes e roteiros pertencentes à empresa e seus funcionários. Cinco próximos filmes da Sony foram colocados online, assim como o roteiro do próximo filme de James Bond, “Spectre“. Uma das chefes do estúdio, Amy Pascal, renunciou depois que os hackers postaram e-mails nos quais ela brincou com o produtor Scott Rudin que em uma reunião com o presidente Barack Obama ela seria inteligente para trazer filmes sobre escravidão.
O F.B.I. logo atribuiu o ataque aos atores estatais norte-coreanos. Pyongyang negou envolvimento, mas declarou o hackeamento uma “ação justa”. Obama prometeu “responder proporcionalmente” ao que chamou de “vandalismo cibernético”. Michael McCaul, que presidiu o Comitê de Segurança Interna da Câmara, disse mais tarde a repórteres que os EUA lançaram uma série de “respostas cibernéticas” ao hack da Sony, especialmente uma paralisação da Internet de dez horas na Coreia do Norte em dezembro de 2014.
Se o ataque à Sony tinha uma qualidade cartunesco, o segundo grande ataque norte-coreano foi como um golpe. Na época em que os hackers estavam invadindo a rede da Sony, membros da mesma gangue — que ficou conhecida como Lazarus Group — começaram a vasculhar bancos em Dhaka, Bangladesh. Contas ligadas ao Grupo Lazarus enviaram e-mails para uma série de alvos no Bangladesh Bank e outras instituições financeiras em Dhaka. As mensagens continham um link para malware que, se clicado, concedeu aos norte-coreanos acesso a sistemas de computador internos. Nos dois primeiros meses de 2015, pelo menos três funcionários do Bangladesh Bank foram atraídos por esses e-mails de “spear-phishing” para baixar o anexo infectado. Naquele março, os hackers haviam estabelecido um “backdoor” dentro do sistema de comunicação eletrônica do banco, permitindo que eles enviassem mensagens uns aos outros de uma maneira que imitasse os protocolos de comunicação criptografada do banco, e não alertassem a segurança para sua presença. Os hackers ocultos então passaram dez meses aprendendo sobre as operações do Bangladesh Bank por dentro.
Como muitos bancos nacionais em países em desenvolvimento, o Bangladesh Bank possui uma conta em moeda estrangeira com o banco Federal Reserve em Nova York. Em 4 de fevereiro de 2016, o Federal Reserve recebeu instruções do Bangladesh Bank para fazer dezenas de pagamentos, totalizando quase um bilhão de dólares, para várias contas, incluindo uma no Sri Lanka e quatro nas Filipinas. Os pedidos foram feitos através da rede rápida — um canal global para transferências de dinheiro, com sede perto de Bruxelas. Na verdade, os hackers lazarus enviaram os pedidos, usando nomes de usuário e senhas roubados que haviam coletado enquanto vagavam pela rede do Bangladesh Bank. Em suas mensagens fraudulentas para a Reserva Federal, os membros do Lazarus incorporaram muitos detalhes de transferências swift genuínas e previamente executadas, de modo que não seria óbvio que seus próprios pedidos eram falsos. Para cobrir ainda mais seus rastros, os hackers instalaram uma atualização de rede que impedia que as mensagens swift fossem lidas no Bangladesh Bank — um pedaço de legerdemain que mais tarde impressionou especialistas em segurança. Era o equivalente a invadir o cofre de um banco depois de desativar suas câmeras de vigilância.
Priscilla Moriuchi, bolsista do Belfer Center for Science and International Affairs de Harvard que se concentra na ameaça cibernética norte-coreana, trabalhou na Agência de Segurança Nacional por doze anos. Ela me disse que a operação de Bangladesh era “chamativa”. Mas os ladrões não só mostrou finesse técnica, ela disse; seu trabalho paciente no assalto dhaka “sinalizou uma maior maturidade tática e operacional.”
A Reserva Federal concedeu os primeiros cinco pedidos de pagamento, um total de cento e um milhões de dólares. Os próximos trinta pagamentos, que totalizaram 850 milhões de dólares, só pararam por causa de um golpe de sorte. Um sistema de alerta automatizado foi ativado após detectar, no texto de uma solicitação de transferência, a palavra “Júpiter”, que passou a estar no endereço de uma agência bancária das Filipinas. Este alerta foi acionado porque um negócio não relacionado, Jupiter Seaways Shipping, em Atenas, estava em uma lista de alerta de evasão de sanções por suas atividades relacionadas ao Irã.
Após a detecção desta e de outra pequena irregularidade, foram feitas solicitações de congelamento nas contas do destinatário. Mas — como os hackers haviam antecipado — porque o assalto foi realizado em um fim de semana de feriado nas Filipinas, os pedidos de congelamento não foram processados por mais 48 horas. Naquela época, cerca de 81 milhões de dólares tinham sido transferidos para uma conta diferente. A maior parte desse dinheiro foi então retirada, convertida em dinheiro como pesos filipinos, e trocada por fichas de cassino. Na época, os estabelecimentos de jogo nas Filipinas estavam isentos de regulamentos anti-lavagem de dinheiro. Não foi um bilhão de dólares, mas foi um grande golpe.
Na época do terceiro grande ataque da Coreia do Norte, ninguém mais achou a ameaça cibernética do regime engraçada. Um esquema de ransomware de 2017 conhecido como Wannacry 2.0 aleijou redes na América, Europa e Ásia — incluindo os sistemas de computador da Boeing, do Serviço Nacional de Saúde da Grã-Bretanha e da ferrovia federal da Alemanha. Os hackers criptografaram computador após computador, depois exigiram pagamento, em bitcoin, para descongelar os sistemas. Os norte-coreanos adaptaram alguns códigos de ransomware e, em seguida, propagaram-no de um dispositivo para o outro, apropriando-se de um perigoso pedaço de código americano, conhecido como EternalBlue, que um grupo criminoso que se autodenominava Os Shadow Brokers havia roubado da NSA e depois postado online.
Um hacker de 22 anos e especialista em malware da Inglaterra chamado Marcus Hutchins, que trabalhava em um quarto na casa de seus pais, analisou o código Wannacry e descobriu como direcionar grande parte do tráfego que estava gerando em um “buraco” — um endereço da Web onde o malware não faria mal. Depois que Hutchins percebeu que tinha acabado com o hack, a Wired informouque ele subiu as escadas para contar à família. Sua mãe, uma enfermeira, estava cortando cebolas. “Bem feito, querida”, disse ela, antes de voltar à sua cozinha.
Oregime norte-coreano tem sido considerado uma empresa fundamentalmente criminosa. Joseph Bermudez Jr., membro sênior do Centro de Estudos Estratégicos e Internacionais, me disse que a sobrevivência do país sempre foi sustentada por um “sistema de patrocínio” semelhante à máfia. Ele explicou que, mesmo antes da Guerra da Coreia, contrabandistas e senhores da guerra haviam prosperado na região. Desde o nascimento do D.P.R.K., o crime tem sido usado para angariar não só dinheiro para o regime, mas também capital político e social. Os Kims, disse Bermudez, promoveram um “desejo de produzir receita para garantir prazer com o líder”.
Até recentemente, as operações criminosas mais lucrativas patrocinadas pelo Estado da Coreia do Norte incluíam o contrabando de cigarros, a criação de dinheiro falso, o comércio de espécies ameaçadas e a fabricação e distribuição de drogas ilegais fabricadas em laboratório, como metanfetamina. Nos anos 70, diplomatas norte-coreanos que foram colocados no exterior frequentemente traficavam narcóticos. Nos anos 80, falsificadores norte-coreanos criaram um “supernote” notavelmente plausível de cem dólares. (Em 2006, o Serviço Secreto estimou que havia removido 50 milhões de dólares em notas falsas de circulação; sete anos depois, o Tesouro dos EUA redesenhou sua nota de cem dólares com recursos extras de segurança.) Muitos fluxos tradicionais de receita criminal continuam a fluir de volta para Pyongyang, mas na última década o foco do Estado tem sido voltado para a Internet.
O alcance e a criatividade da onda de crimes digitais da Coreia do Norte pegaram muitos desprevenidos. Não era apenas que os guerreiros cibernéticos de Pyongyang poderiam comprometer as redes de computadores em todo o mundo; mostraram verdadeira inovação na exploração de novas tecnologias. Luke Dembosky, um advogado que assessora empresas em questões de segurança na Internet, confrontou pela primeira vez a ameaça cibernética da Coreia do Norte na época do hack da Sony, quando ele era o vice-procurador-geral assistente na Divisão de Segurança Nacional do Departamento de Justiça. Em seguida, ele testemunhou o assalto bangladesh – um salto impressionante em sofisticação. “Foi impressionante para alguém como eu, apesar dos anos neste negócio, ver um ator de estado-nação relativamente isolado não simplesmente copiando a metodologia ou esquema de outra pessoa, mas realmente abrindo novos caminhos”, disse ele.
Priscilla Moriuchi, a analista de Harvard, me disse que, em retrospectiva, a volta do D.P.R.K. para o crime cibernético tinha sido um desenvolvimento orgânico. “Os norte-coreanos entendem a criminalidade”, disse ela. “Eles estão integrados em muitos, muitos lugares com este mundo subterrâneo criminoso e cinza. E por isso é natural sobrepor essa nova tecnologia, a Internet. Conecta organizações criminosas e contrabandistas uns com os outros.”
Discutimos o golpe japonês de 2016. Shimomura pode não ter conhecido seu chefe supremo, mas a yakuza estava contrabandeando produtos ilegais para fora da Coreia do Norte há décadas. Na virada do milênio, a Coreia do Norte forneceu cerca de 40% das metanfetaminas do Japão. Então, se os golpistas cibernéticos em Pyongyang precisavam de botas no chão para sacar dinheiro em Nagoya, eles poderiam fazer um pedido, e isso logo seria respondido.
Moriuchi também observou que, embora os hackers norte-coreanos fossem tecnicamente realizados, seu atributo mais importante era um savoir-faire criminoso. No caso do Banco Bangladesh, os ladrões esperaram 17 meses após o primeiro reconhecimento em Dhaka antes de conseguirem o assalto. Eles tinham determinado o fim de semana ideal e feriado para greve; eles tinham planejado como mover dinheiro rapidamente para fora dos bancos destinatários; e eles escolheram instituições que tinham protocolos particularmente frouxos de know-your-customer. Uma vez executado o roubo, eles usaram empreiteiros locais nas Filipinas para lavar seus pesos, efetivamente escondendo o rastro do dinheiro. Seu sucesso foi baseado em saber não apenas como os computadores funcionam, mas como as pessoas funcionam. “É essa conexão do mundo virtual e do físico que é tão impressionante.”
Na maioria dos países, os hackers desenvolvem suas habilidades experimentando em computadores em casa quando são adolescentes. Marcus Hutchins, que desmantelou Wannacry, era um desses reclusos do ensino médio. Mas o talento da Coreia do Norte no campo dos crimes cibernéticos é cultivado em uma estufa. Poucas famílias possuem computadores, e o Estado guarda com ciúmes o acesso à Internet.
O processo pelo qual os hackers norte-coreanos são vistos e treinados parece ser semelhante à maneira como os olímpicos já foram cultivados no antigo bloco soviético. Martyn Williams, um colega do think tank do Stimson Center que estuda a Coreia do Norte, explicou que, enquanto a guerra convencional requer o desenvolvimento caro e oneroso de armas, um programa de hackers precisa apenas de pessoas inteligentes. E a Coreia do Norte, apesar de não ter muitos outros recursos, “não está aquém do capital humano”.
Os alunos mais promissores são incentivados a usar computadores nas escolas. Aqueles que se destacam em matemática são colocados em escolas especializadas de ensino médio. Os melhores alunos podem viajar para o exterior, para competir em eventos como a Olimpíada Internacional de Matemática. Muitos vencedores da Medalha Fields, o célebre prêmio em matemática, foram muito bem colocados na competição quando eram adolescentes.
Estudantes da Coreia do Norte geralmente têm um desempenho impressionante no I.M.O. (É também o único país a ter sido desclassificado por suspeita de trapaça: a equipe D.P.R.K. foi expulsa duas vezes da competição, em 1991 e em 2010.) No I.M.O., realizado em Bath, Inglaterra, Kuk Song Hyon marcou perfeitamente nos primeiros cinco dos seis desafios, e ficou empatado em primeiro lugar com estudantes da China, Coreia do Sul, Polônia e Estados Unidos até o problema final, quando recebeu uma pontuação baixa.
Duas faculdades em Pyongyang, Kim Chaek University of Technology e Kim Il Sung University, aspiram os adolescentes mais talentosos das escolas especializadas de matemática e informática e depois ensinam-lhes código avançado. Essas instituições geralmente superam as faculdades americanas e chinesas no Concurso Internacional de Programação Colegiada — um festival de nerds insuperáveis e alegres. Nas finais de I.C.P.C. de 2019, realizadas em Porto, Portugal, a Universidade Kim Chaek ficou em oitavo lugar, à frente de Oxford, Cambridge, Harvard e Stanford.
Costin-Andrei Oncescu, que representou a Universidade de Oxford no I.C.P.C., e que começou a programar competitivamente em sua Romênia natal aos dez anos de idade, me disse que o I.C.P.C. não era apenas divertido e sociável, mas também um campo de recrutamento para grandes empresas de tecnologia. A Huawei patrocinou as finais de 2019. Os concorrentes, disse Oncescu, fizeram um impressionante trabalho de codificação. Ele mencionou Nikolai Durov, um membro das equipes vencedoras do campeonato da Universidade Estadual de São Petersburgo de 2000 e 2001, que posteriormente co-fundou os aplicativos russos de mídia social VK e Telegram.
Oncescu acrescentou que os norte-coreanos tinham ficado no mesmo hotel que os outros concorrentes no Porto. Mas ele não os tinha visto socializar com estudantes de outros países. Ele disse que, embora as competições testísuam fluência de codificação, o verdadeiro teste era de uma capacidade mais geral de resolução de problemas. Muitas vezes se resume a pura matemática. Para prosperar, toda equipe precisava de pelo menos uma pessoa “muito orientada para a matemática”, disse Oncescu. Os alunos que trabalham em equipes de três foram convidados a criar um código que fornecesse uma solução para um quebra-cabeça abstrato, mas apenas um membro da equipe por vez escreveu o código.
Os desafios de codificação no I.C.P.C. 2019 foram terrivelmente difíceis. Um exemplo: “O clube de jogos de tabuleiro da sua universidade acaba de sediar um torneio de damas, e você foi designado para tomar notas sobre os jogos. Infelizmente, enquanto voltava para casa, você deixou cair todos os seus papéis em uma poça! desastre! Muito do que você escreveu agora é ilegível; tudo o que você tem são algumas listas de movimentos jogados no meio de vários jogos. Existe alguma maneira de você reconstruir o que aconteceu nesses jogos? O código que os alunos construíram precisava resolver esse problema em não mais do que um segundo. Oncescu disse que, para ganhar a competição, você tinha que trabalhar rápido, colaborativamente e criativamente. “A parte mais difícil não é a codificação”, ele me disse. “É o pensamento.”
Ele acrescentou que havia muita sobreposição entre os competidores nestetipo de competições e a “próxima geração” de programadores e pesquisadores de ponta. Ele também poderia imaginar como tais competições podem desenvolver as habilidades de um hacker criminoso, porque “uma vez que você encontrou algo estranho sobre a maneira como um sistema funciona, então ele se torna um problema matemático na tentativa de tirar vantagem disso”. A codificação e as habilidades analíticas em exibição em tais eventos eram como a Força nos filmes de “Star Wars“: poderia ser usado para o lado claro, ou para o escuro.
Segundo muitas estimativas, cerca de sete mil norte-coreanos trabalham no programa cibernético do país. Os funcionários estão divididos entre o Departamento de Estado-Maior dos Militares, que auxilia as operações do Exército, e o Escritório Geral de Reconhecimento, que é semelhante ao Escritório do Diretor de Inteligência Nacional dos EUA. O artigo da Universidade da Coreia de 2019 apresentou uma análise de como os hackers foram divididos dentro desses silos. O Departamento do Estado-Maior tem entre seus subgrupos o friamente chamado Desabotamento do Colapso Inimigo, que é responsável por “informação e guerra psicológica”.
A maior parte do trabalho criminoso é realizado pela Secretaria Geral de Reconhecimento. De acordo com os pesquisadores da Universidade da Coreia, uma seção da R.G.B. conhecida como Unidade 180 é responsável por “realizar operações cibernéticas para roubar dinheiro estrangeiro de fora da Coreia do Norte”. O Lazarus Group é a unidade mais conhecida de hackers comerciais norte-coreanos, mas essa entidade pode incluir — ou ter sido parcialmente substituída por — outros grupos, que são conhecidos pelas agências ocidentais de aplicação da lei e inteligência por nomes como BeagleBoyz, hidden cobrae apt38. (“apt” significa “ameaça persistente avançada.”) Ninguém parece ter uma compreensão firme de quantas pessoas trabalham para cada grupo ou qual grupo ganha mais dinheiro.
Outra pergunta tentadora é onde, geograficamente, os hackers da Coreia do Norte fazem seu trabalho. Moriuchi, o colega de Harvard, passou anos rastreando os metadados dos internautas norte-coreanos. Entre 2017 e 2020, ela analisou a pequena pegada online da Coreia do Norte. A qualquer momento, apenas algumas centenas de endereços ip no país podem estar em uso. A partir desta e de outras pistas, ela concluiu que a maioria dos codificadores do país estavam trabalhando fora da Coreia do Norte, na China e em partes do Sudeste Asiático. Certamente, disse Moriuchi, a maioria dos novos graduados em TI da Coreia do Norte parecia passar um período de tempo no exterior em tais países, onde aprenderam habilidades valiosas do “mundo real”. Essas unidades estrangeiras eram, em essência, geradoras de lucro e campos de treinamento.
Recentemente, um analista americano me mostrou a pegada digital de uma célula que, segundo ele, consistia em norte-coreanos trabalhando na cidade fronteiriça de Dandong, na China. O trabalho da unidade era aparentemente anodyne — não havia evidências de que ela se envolvesse em hacking malicioso. Comunicando-se através do endereço de e-mail bravemaster619@hotmail.com, o grupo solicitou shows autônomos em sites de codificação, em inglês quase impecável. O perfil do Bravemaster619 no GitHub diz: “Quer ter seu próprio site? Quer adicionar alguns recursos ou personalizar o design do seu sistema existente? Quer melhorar seu site para o próximo nível? Segure minhas habilidades de desenvolvimento experientes! Os trabalhadores norte-coreanos em Dandong não anunciaram sua nacionalidade — presumivelmente por causa das disposições de sanção — e pareciam cobrar taxas competitivas.
No ano passado, falei com Lee Hyun Seung, de 35 anos, que desertou da Coreia do Norte em 2014 e agora vive nos Estados Unidos. Ele tinha trabalhado em um negócio comercial de propriedade do governo D.P.R.K., e nessa capacidade ele tinha vivido por um tempo em Dalian, China. Ele disse que não tinha conhecimento especial do programa de hackers, mas que quando trabalhou em Dalian sabia que havia três equipes de “trabalhadores de T.I. ” norte-coreanos com sede na cidade. Lee me disse que uma vez visitou um dormitório de hackers em Dalian. Os homens viviam de quatro para um quarto — às vezes seis. Os dez homens que trabalhavam em uma dessas unidades disseram a Lee que passavam a maior parte do tempo ganhando “muito dinheiro” projetando jogos de vídeo de celular para os mercados japonês, sul-coreano e chinês. Um intermediário chinês vendeu seus produtos. Lee sugeriu que, embora este trabalho de codificação fosse mundano, os norte-coreanos que ele conheceu raramente queriam ser promovidos — porque uma promoção significaria voltar a Pyongyang.
Esta evidência anedótica foi refutada por outro desertor, que dirige uma rede de rádio clandestina baseada na Coreia do Sul cujo sinal de transmissão penetrou na Coreia do Norte. Ele me disse que estava familiarizado com o programa cibernético do D.P.R.K., e, como ele entendeu, o trabalho realizado por trabalhadores norte-coreanos fora do país tendia a ser “de baixo nível”. As estrelas do programa foram mantidas em Pyongyang ou foram devolvidas para lá para fazer seu trabalho mais importante no governo — uma tática que impedia que hackers envolvidos em operações de alta prioridade fossem pegos no exterior. O desertor me disse que os melhores hackers de Pyongyang, que estavam envolvidos em esquemas que coletavam milhões de dólares em moeda estrangeira, eram recompensados com carros ou casas confortáveis, ou com outros benefícios materiais conhecidos como Presentes Especiais de Kim Jong Un, que eram impossíveis de obter cidadãos comuns. Essa informação, disse o desertor, veio de um amigo na Coreia do Norte em quem ele podia “confiar absolutamente”, mas que não podia falar comigo sem arriscar sua vida.
Um investigador americano de violações de sanções, que trabalha em um proeminente N.G.O. mas não estava autorizado a falar no registro, estava igualmente convencido de que o quadro élite de hackers norte-coreanos estava sediado em Pyongyang. Provavelmente, esses agentes usaram V.P.N.s estrangeiros — redes privadas virtuais — para acessar a Internet de fora do país, mascarando assim sua localização.
John Demers, do Departamento de Justiça, suspeita que o Estado chinês ajuda no crime cibernético norte-coreano, porque “não quer que a Coreia do Norte falhe”. O investigador americano de violações de sanções observou que “a Coreia do Norte está conectada ao mundo através de infraestrutura essencialmente russa e chinesa”, acrescentando: “Há fortes indícios de que a Rússia e a China estão bem cientes do que está acontecendo e ativamente facilitaram parte disso”. Uma certa quantidade de comércio legal e ilegal continua através das fronteiras da Coreia do Norte com a Rússia e a China, que historicamente foram aliadas. De acordo com a Agência de Segurança cibernética e infraestrutura dos EUA, nenhuma instituição financeira na Rússia ou na China foi alvo de hackers norte-coreanos.
Oalvo mais comum do exército cibernético da Coreia do Norte é seu inimigo jurado, a Coreia do Sul, que sofreu muitas centenas de grandes ataques. Recentemente, falei com Simon Choi, um analista de inteligência de segurança que mora em Seul. Em 2008, enquanto realizava o serviço militar obrigatório, ele soube sobre a Coreia do Norte realizar um ataque cibernético ao Exército sul-coreano — uma tentativa fracassada do Escritório Geral de Reconhecimento de implantar malware a fim de roubar segredos de armas altamente confidenciais. Choi ficou fascinado com a ameaça representada pelos hackers norte-coreanos. “Percebi que a guerra cibernética era real”,disse ele.
Depois de completar seu serviço militar, Choi aceitou um emprego na segurança online. Ele também começou a organizar uma equipe de voluntários na Coreia do Sul, chamada IssueMakers Lab, que poros sobre malware atribuído aos norte-coreanos, a fim de entendê-lo melhor. O grupo agora soma dez pessoas, e inclui homens e mulheres. Embora os membros sejam amadores, não espiões, suas avaliações são consideradas rigorosas e agudas. Em seu trabalho diurno, Choi arrasta a dark Web, investigando tráfico de drogas e outros crimes em nome das agências de aplicação da lei; depois de horas, ele pensa sobre hackers em Pyongyang.
Choi me disse que cerca de 1100 norte-coreanos escreveram roteiros maliciosos. Ele me mostrou um código de malware, escrito em 2016, que tinha sido projetado para cobrir os rastros de um assalto a banco norte-coreano. O malware consistia em linhas de letras e números aparentemente aleatórios fluindo por uma página, em pares. Nas margens havia algumas palavras reconhecíveis em inglês — “Windows”,“todos” – conectadas por pontuação enigmática. Choi poderia analisar fluentemente e sensivelmente tudo isso. Os codificadores chineses e americanos eram os melhores do mundo, disse ele, mas russos e norte-coreanos estavam empatados em segundo lugar. De todo o malware que Choi havia examinado, ele reservou sua maior admiração pelo worm Stuxnet, que havia sido usado em um ataque conjunto bem sucedido israelense-americano às centrífugas nucleares do Irã, em 2010. Ele falou sobre o código Stuxnet da maneira que um historiador de arte poderia discutir “The Night Watch”: era “elegante”, “preciso”, “sofisticado”. Choi me disse que o código norte-coreano era “masculino” em sua concisão bruta: “Muito simples, muito prático, e eles sempre vão direto para o seu objetivo e objetivo.” Ele acrescentou: “A chave para seu sucesso é sua implacável – eles apenas atacam, sem parar.”
Às vezes, ele explicou, codificadores incorporavam assinaturas ou iniciais em seus scripts. Era uma forma de marcar, ou talvez até se gabar. Ele ocasionalmente notava as iniciais de ex-competidores da Olimpíada Internacional de Matemática em malware que ele examinou. Uma vez, ao examinar o código relacionado a uma tentativa de phishing de 2013 em I.C.I.C.I.I.I., um banco indiano, Choi notou uma etiqueta, kut_rsc1994, pertencente a um codificador que havia estudado na Universidade Kim Chaek. (“KUT” é uma etiqueta estabelecida para a escola.) Em uma inspeção posterior, Choi passou a acreditar que o codificador era Ryu Song Chol, que havia ganhado uma medalha de prata para a Coreia do Norte no I.M.O., em Amsterdã, em 2011. Mais tarde, Ryu postou esta tag em um site de hackers, aparentemente confirmando o link.
Choi foi cauteloso em atribuir etiquetas de codificação a pessoas da vida real: quem poderia saber com certeza qual pessoa estava por trás de qual persona? Os norte-coreanos poderiam muito bem ter trocado identidades. Ele se sentiu confiante, porém, que nunca tinha examinado o código escrito por uma mulher norte-coreana. Eu ri quando ele me disse isso. Como ele poderia saber? “São todos caras”, repetiu. A Coreia do Norte, disse ele, permaneceu uma sociedade tradicional, dominada por homens, e era extremamente improvável que o Departamento Geral de Reconhecimento treinasse mulheres para tal trabalho.
Os IssueMakers frequentemente davam apelidos aos hackers norte-coreanos mais talentosos, embora Choi não me dissesse os nomes de alguém que atualmente trabalha para Pyongyang. Eu me perguntava se ele já tinha sentido como se ele entendesse esses codificadores como pessoas. “Acho que temos uma consciência mútua”, ele me disse. “Eles devem ver o que analisamos também, porque publicamos. Esse é o meu sentimento – que nós dois estamos cientes um do outro.”
AInternet, para abusar de John Donne, faz de um pequeno quarto um lugar em todos os lugares. Os hackers da Coreia do Norte realizaram operações em mais de cento e cinquenta países. Em novembro de 2018, um programador em Santiago, Chile, foi recrutado para um cargo de alto nível em uma empresa estrangeira. O programador, que trabalhou na Redbanc, uma rede que conecta todos os A.T.M.s no Chile, foi convidado via LinkedIn para solicitar um software de desenvolvimento de posição no Global Processing Centre, um processador de pagamentos de terceiros em St. John’s, Antígua. A posição era lucrativa e em part-time: o programador poderia complementar sua renda sem afetar seu trabalho para Redbanc.
A oferta de emprego do Global Processing Centre veio de alguém que pretende ser Justin Stuart-Young, diretor de informações da empresa. O programador Redbanc foi direcionado para um endereço de e-mail privado para Stuart-Young. O namoro progrediu para uma entrevista em vídeo, na qual Stuart-Young entrevistou o programador em espanhol. Depois de pelo menos mais três entrevistas, durante as quais Stuart-Young disse que estava ansioso para visitar o Chile algum dia para se encontrar pessoalmente, o funcionário da Redbanc foi convidado a baixar e executar um programa que gerou um PDF de um currículo. Ele fez o que foi instruído, mas nunca mais ouviu falar de Stuart-Young. (O programador Redbanc renunciou desde então, e a empresa não o identificaria.)
Enquanto o programador e Stuart-Young estavam correspondendo, um profissional de cibersegurança chamado Juan Roa Salinas começou em um novo papel na Redbanc. Ao inspecionar a rede interna da empresa, viu sinais de que havia sido comprometida. Havia conexões incomuns com nomes de domínio da Internet que ele não esperava ver na rede.
Um leitor voraz de notícias tecnológicas, Roa tinha sido fascinado pelo ataque norte-coreano ao Bangladesh Bank e tinha estudado as atividades do Lazarus Group e apt38. Ele tinha aprendido sobre os ataques FASTCash da Coreia do Norte, como o implantado no Japão. Enquanto investigava o “comportamento estranho” na rede Redbanc, ele e membros da equipe de resposta da empresa concluíram que o negócio estava sob ataque de um ator de estado-nação, provavelmente de Pyongyang. Entre outras pistas, um terminal redbanc tinha inexplicavelmente procurado um endereço vip na Coreia do Norte. Roa, julgando que a ameaça era severa, recomendou que Redbanc desligasse sua Internet por uma semana.
Roa lembra que seus chefes acharam seu pedido “chocante”, mas eles cumpriram. Uma investigação interna após a paralisação revelou que a empresa estava realmente no meio de uma tentativa de violação do FASTCash. Tais agressões normalmente levam vários meses para serem executadas. Os hackers primeiro usaram um grupo criminoso de terceiros para “engenharia social”. Os engenheiros sociais imitaram uma oferta de emprego de uma empresa real em Antígua, usando endereços de e-mail falsos, mas convincentes, e até mesmo se passando por um executivo, Justin Stuart-Young, usando um ator de língua espanhola que se encaixava em sua descrição. (Quando falei com o verdadeiro Stuart-Young recentemente, foi a primeira vez que ele ouviu falar do ataque chileno, e de sua identidade ser roubada.)
Quando o programador Redbanc executou o programa infectado, ele ativou um “conta-gotas”, que concedia aos hackers controle remoto de seu computador. Os hackers então fizeram uma série de movimentos laterais através de outros computadores na rede da empresa. Seu objetivo era comprometer o sistema Active Directory da Microsoft na Redbanc, que conecta usuários com recursos. Quando Roa percebeu a intrusão, os hackers ainda não tinham alcançado esse objetivo. A próxima etapa da operação teria sido ganhar o controle do mainframe em Redbanc e, em seguida, iniciar o ataque FASTCash em si, que usaria malware para ocultar solicitações fraudulentas de retirada feitas em A.T.M.s. Roa purgou os hackers da rede Redbanc antes que eles pudessem ultrapassar o mainframe.
Após a tentativa de invasão, Redbanc fez o que muitas empresas submetidas a tais ameaças fazem: manteve silêncio e melhorou sua segurança. O ataque fastcash em Redbanc só se tornou público porque Felipe Harboe, então senador chileno, ouviu sobre isso em uma reunião de especialistas em segurança e decidiu tuitar a notícia. Harboe me disse no outono passado que ele tinha quebrado o silêncio de Redbanc porque as instituições sul-americanas estavam agora sob constante ameaça de grupos de hackers norte-coreanos e russos. Os funcionários da Redbanc, disse ele, ficaram “surpresos e chateados” por Harboe ter exposto sua violação, mas ele sentiu que o problema exigia mais transparência. Houve outros ataques .M A.T. no Chile, e esquemas de ransomware — nos quais hackers assumem o controle de uma rede de computadores e exigem uma taxa para retornar sistemas ao normal — eram ainda mais comuns. Muitas operações de ransomware começaram como a da Redbanc, contando com um único ponto fraco de entrada.
O fracasso dos norte-coreanos em Redbanc foi apenas um pequeno inconveniente. A estratégia dos hackers é pegar muitos peixes lançando uma rede ampla. A Agência de Segurança Cibernética e Segurança de Infraestrutura observou que, na época do ataque a Redbanc, atores norte-coreanos desencadearam ataques bem sucedidos do FASTCash contra dezenas de bancos na Ásia e na África, roubando dezenas de milhões de dólares. Em uma única brecha em 2017, o dinheiro foi simultaneamente retirado dos A.T.M.s em mais de trinta países.
Priscilla Moriuchi acredita que nos últimos dois anos a estética dos cibercriminosos norte-coreanos tornou-se mais sutil. Além de direcionar grandes instituições financeiras, elas desenvolveram um “ritmo operacional” mais rápido e menos extravagante. Ela explicou: “Eles conseguiram routinizar fraudes financeiras, ataques a instituições financeiras menores e cidadãos comuns. Eles são muito mais como um grupo criminoso normal agora.
Um relatório publicado em março pelo painel de especialistas da ONU observou que uma nova via para os cibercriminosos norte-coreanos é o roubo de informações militares, seja para vender ou colher para o programa de armas do país. Mas o mais confiável fazedor de dinheiro para a Coreia do Norte tornou-se o roubo de criptomoedas.
Jesse Spiro, responsável pelas iniciativas políticas da Chainalysis, uma empresa privada que investiga crimes relacionados a criptomoedas, me disse recentemente que hackers norte-coreanos roubaram pelo menos US$ 1,75 bilhão em moedas digitais de exchanges. Só esse fluxo de receita poderia cobrir cerca de 10% do orçamento total de defesa da Coreia do Norte.
Os hacks de criptomoedas da Coreia do Norte têm uma metodologia relativamente simples. Exchanges que negociam bitcoin e outros tipos de criptomoedas normalmente possuem contas de custódia cheias de moedas de seus clientes. Essas instalações de armazenamento são conhecidas como “hot wallets”, porque estão conectadas à Internet. (Um método mais seguro, mas trabalhoso de armazenar moedas está em uma “cold wallet” offline contendo, digamos, impressões de código QR que contêm as chaves das contas blockchain.) Hackers da Coreia do Norte frequentemente têm acesso aos sistemas internos de uma exchange usando os mesmos tipos de manipulações envolvidas na tentativa fracassada no Chile. Pessoas que parecem reais propõem esquemas que parecem reais e, em seguida, persuadir um usuário de rede em uma empresa direcionada a baixar um documento infectado. Normalmente, um ou dois membros de nível administrativo em uma exchange de criptomoedas têm acesso às chaves privadas de uma carteira quente. Se os hackers podem comprometer uma figura suficientemente sênior, eles podem alcançar a carteira e roubar suas moedas.
Tom Robinson, cientista-chefe da empresa de análise de blockchain Elliptic, que rastreia os lucros dos hacks de criptomoedas para clientes governamentais e privados, me disse que as negociações de criptomoedas se tornaram alvos atraentes para hackers norte-coreanos: “Uma vez que os fundos saíram da bolsa, você não pode reverter essas transações, como você pode talvez com um pagamento bancário tradicional. Uma vez que eles se foram, eles se foram. E não há intermediário, não há controlador de bitcoin, a quem você pode ir e dizer: ‘Esses fundos são roubados. Devor-os para mim. É completamente descentralizado. Ele também pode ser bastante anônimo — você não precisa promulgar o esquema através de contas vinculadas à sua identidade.”
Robinson disse que uma das personas falsas mais bem sucedidas usadas pelo Lazarus Group foi Waliy Darwish — um homem que supostamente trabalhou para uma empresa de criptomoedas, com sede em Michigan, chamada Celas L.C. O Grupo Lazarus inventou darwish e celas. Os perfis do LinkedIn e outras páginas relacionadas à persona e à empresa ainda estão ativos. No LinkedIn, Darwish se apresenta como um graduado da Universidade de Ciências Aplicadas de Roterdã e diz que seus interesses incluem Rolls-Royces. Ele também afirma, semgramaticamente, mas de certa forma, “saber como agir a blockchain na criptomoeda”. Em fevereiro, uma acusação de F.B.I. contra três supostos hackers norte-coreanos observou que algum software malicioso criado pelo Lazarus Group e que alegava ser um programa de negociação de criptomoedas se chamava Celas Trade Pro.
Na primavera de 2018, a mirage Darwish-Celas foi convincente o suficiente para atrair funcionários de uma exchange de criptomoedas em Hong Kong para baixar software infectado. (Uma investigação sobre esta operação continua, e os investigadores acreditam que confirmar a identidade da troca pode prejudicar um inquérito em andamento.) Poucas semanas após a instalação do malware, os hackers haviam roubado cerca de 1.800 bitcoins da carteira quente da exchange. As moedas, então no valor de cerca de 94 milhões de dólares, agora valeriam mais de meio bilhão de dólares.
Os padrões de lavagem de dinheiro que normalmente seguem tais ataques são vertiginosos. Elliptic rastreou o que aconteceu com as moedas do hack de Hong Kong. Robinson explicou que todas as moedas roubadas foram encaminhadas para uma carteira mantida pelos hackers, depois divididas em dezenas de pequenas quantidades e enviadas, através de rotas diferentes, para outra troca. Tal transferência atomizada de dinheiro é conhecida como uma “cadeia de casca”. Quando Robinson me mostrou um diagrama da dispersão de moedas, lembrei-me de um mapa de rota de revistas aéreas em que várias linhas brotam de um ponto e depois convergem em outro.
Uma cadeia de peel foi projetada para superar os alertas automáticos, que buscam o trânsito de um volume preciso de criptomoedas. As moedas roubadas foram enviadas a dois chineses, Tian Yinyin e Li Jiadong, que abriram contas em outras exchanges, incluindo uma nos EUA, usando fotos falsas e nomes falsos. Eles então sacaram as moedas e transferiram o dinheiro para bancos chineses. De acordo com o Tesouro dos EUA, várias instituições financeiras na China oferecem contas aos norte-coreanos, ou para empresas de fachada que têm relações com Pyongyang. No ano passado, Tian e Li foram indiciados nos Estados Unidos por supostamente lavar “mais de cem milhões de dólares em criptomoedas roubadas para obscurecer transações em benefício de atores na Coreia do Norte” entre 2017 e 2019. Eles permanecem à solta.
Em 2019, a ONU listou dezenas de exchanges de criptomoedas que haviam sido hackeadas pelos norte-coreanos. Uma troca em Seul, Bithumb, foi invadida com sucesso quatro vezes — uma tremenda falha de segurança. Desde que o relatório da ONU foi publicado, o refinamento dos ataques só se aprofundou, assim como a habilidade com que o produto do crime é lavado. De acordo com Jesse Spiro, da Chainalysis, quinze roubos de criptomoedas foram relatados até agora este ano. É muito cedo para dizer quantos serão atribuídos à Coreia do Norte.
Spiro observou que as autoridades estavam cada vez mais em busca de tais esquemas. A conscientização das cadeias de casca, por exemplo, tornou-se generalizada; a tática é “relativamente fácil de rastrear se você tem recursos forenses ou de análise de blockchain”, disse ele. Mas novas técnicas de ofuscação surgiram. Lavadores profissionais de dinheiro oferecem serviços como o CoinJoin, que mistura moedas roubadas e não roubadas para confundir analistas forenses.
Se alguém comparasse a indústria e a mão-de-obra que foi para o planejamento e execução do roubo de Bangladesh com a maneira quase casual em que os tokens digitais são muitas vezes roubados, seria evidente por que os norte-coreanos vieram a favorecer tais assaltos de intercâmbio. Spiro me disse que escritórios forenses privados e agências de aplicação da lei estavam finalmente resolvendo o problema com a seriedade que merecia. Entender como rastrear criptomoedas é uma habilidade cada vez mais importante, até porque hackers norte-coreanos, e membros de muitas gangues criminosas, aceitam pagamentos de ransomware em moeda digital. Entre 2019 e 2020, de acordo com a Chainalysis,os incidentes com ransomware aumentaram mais de 300%.
Mesmo que outras técnicas de lavagem se tornem bem conhecidas e moedas roubadas possam ser prontamente sinalizadas, a chave para tornar tais assaltos pouco rentáveis é impedir que ladrões saquem. Isso é improvável tão cedo, disse Spiro, devido às práticas frouxas de certas bolsas chinesas, do leste europeu e do sudeste asiático. Em uma coletiva de imprensa para anunciar as acusações de fevereiro contra os três hackers norte-coreanos, John Demers, do Departamento de Justiça, fez uma referência a tais facilitadores, dizendo que já era hora “para a Rússia e a China, bem como quaisquer outros países cujas entidades ou nacionais desempenham um papel nos esforços de geração de receita do D.P.R.K., para tomar medidas”.
De que adiantam tais declarações? Os EUA falharam durante uma década para encontrar uma resposta eficaz à ameaça cibernética norte-coreana. Luke Dembosky, ex-subprocurador-geral adjunto, trabalhou com a Sony durante a crise de 2014. Na época, alguns especialistas em segurança duvidaram que a Coreia do Norte era capaz de tal ataque. Dembosky me disse que “não teríamos enviado Obama ao palanque de ânimo leve”, mas quando o presidente falou foi em termos medidos. A Coreia do Norte foi acusada de “vandalismo” em vez de um crime mais grave. David Maxwell, um ex-coronel das Forças Especiais que agora é membro sênior da Fundação para a Defesa das Democracias, um think tank conservador, me disse que era difícil saber o que fazer sobre um país se comportar como uma gangue: “A Coreia do Norte muitas vezes opera abaixo do limiar de uma resposta estratégica. Algo como o hack da Sony — que foi um ataque a uma empresa. Não foi algo contra o qual nosso governo defendeu.”
Várias agências governamentais – incluindo o F.B.I., a NSA e o Serviço Secreto – estão agora trabalhando agressivamente para enfrentar a ameaça. As acusações do.B FBI contra hackers do Grupo Lazarus descrevem os supostos crimes da unidade em detalhes. Uma acusação observou que os hackers “tentaram roubar ou extorquir mais de US$ 1,3 bilhão” de “empresas de entretenimento, instituições financeiras, empresas de criptomoedas, cassinos online, empreiteiros de defesa inocentados, utilitários de energia e indivíduos”. O F.B.I. também prendeu recentemente e acusou um homem canadense-americano que supostamente lavou dinheiro para os norte-coreanos.
Da mesma forma, um especialista em blockchain americano chamado Virgil Griffith foi indiciado em janeiro de 2020, no distrito sul de Nova York, por violar as sanções dos EUA contra a Coreia do Norte. Griffith havia viajado para Pyongyang em 2019 para fazer um discurso em uma conferência sobre criptomoedas. A denúncia contra Griffith alega que ele foi instruído por seus anfitriões norte-coreanos a focar sua apresentação sobre “as potenciais aplicações de lavagem de dinheiro e evasão de sanções da tecnologia de criptomoedas e blockchain”. Griffith se declarou inocente.
As acusações não seladas são uma benção para jornalistas e pesquisadores, mas as chances de qualquer hacker norte-coreano ser processado com sucesso são muito pequenas. Há, no entanto, um reconhecimento crescente na América da ameaça apresentada pelos cibercriminosos. O presidente Joe Biden garantiu 10 bilhões de dólares para agências federais que lidam com a questão dos crimes cibernéticos. Um conselheiro do governo me disse que um grande remédio a ser considerado é o estabelecimento de novos protocolos que permitirão que as agências trabalhem muito mais de perto com empresas de segurança privada, que muitas vezes realizam o melhor trabalho forense de crimes cibernéticos.
A ameaça à segurança nacional representada pelos hackers norte-coreanos é menos óbvia do que a representada pelos hackers russos, que notoriamente interferiram nas eleições dos EUA. O conselheiro especial da Administração Obama sobre segurança cibernética, Michael Daniel, é agora o presidente e ceo da Cyber Threat Alliance, uma organização sem fins lucrativos dedicada a melhorar o compartilhamento de informações sobre as ameaças representadas pelo crime online. Ele me disse que a Coreia do Norte apresentava dificuldades únicas para as agências de aplicação da lei, não apenas porque sua atividade criminosa estava misturada com suas capacidades de coleta de informações, mas também porque seu gangsterismo agora interfere em redes cruciais em outros países, como operações de saúde. “Quando você recebe ransomware atingindo sistemas médicos durante uma pandemia, isso não é mais apenas uma ameaça monetária”, disse Daniel.
Os autores de crimes cibernéticos da Coreia do Norte muitas vezes parecem criminosos amorais e sem rosto. Também parecem vítimas. Costin-Andrei Oncescu, o programador de Oxford, ficou triste ao pensar em jovens mentes norte-coreanas brilhantes sendo desperdiçadas em esquemas para roubar bancos e instalar ransomware. Mas é quase impossível aprender as histórias das pessoas do programa. David Maxwell, o ex-coronel das Forças Especiais, me disse que os poucos desertores das unidades cibernéticas do Departamento Geral de Reconhecimento tinham imigrado para a Coreia do Sul, onde tinham imediatamente caído sob a supervisão dos serviços de inteligência do país. Ocasionalmente, no entanto, é possível vislumbrar o caminho imposto aos “bravos guerreiros” de Kim Jong Un.
Ri Jong Yol era um prodígio da matemática. Ele nasceu em uma família acadêmica fora de Pyongyang em 1998. Quando entrou na primeira série, aos sete anos, ele estava estudando diariamente com um tutor particular, e já havia dominado todo o programa do ensino fundamental. No ensino médio, ele entrou e ganhou um concurso nacional de matemática, e ele foi selecionado para frequentar uma escola secundária para crianças superdotadas. Aos 15 anos, foi o mais jovem membro da equipe da Coreia do Norte na Olimpíada Internacional de Matemática de 2013, em Santa Marta, Colômbia.
Ri era um garoto alto, gregário e bonito que gostava de jogar vôlei e ping-pong. Ao contrário de seus colegas de equipe no I.M.O., ele gostava de conhecer as crianças de outros países. Ele viu adolescentes estrangeiros acessando a Internet nas horas vagas e se perguntou se ele poderia tentar. Ele nunca esteve online. (Os poucos terminais de computador que ele tinha visto nas escolas da aldeia não estavam conectados à Internet, e ele nunca tinha visto as máquinas ligadas, porque as escolas raramente tinham eletricidade.) No final, Ri não se submeteu à tentação. Ele sabia que seria severamente punido se fosse pego.
Ri ganhou uma medalha de prata em seu primeiro I.M.O.— um resultado excepcional para um competidor tão jovem. Em 2014 e 2015, ele entrou na equipe novamente, viajando para a Cidade do Cabo, África do Sul, e depois para Chiang Mai, Tailândia. Ele ganhou medalhas de prata em ambos os eventos. Ri lembra como ele estava feliz vendo outros competidores que voltaram ano após ano. Ele também estabeleceu amizades com os membros da equipe da Coreia do Sul, com quem ele compartilhou uma língua. Eles eram feitos para serem seus inimigos, mas Ri não podia ver o mal em falar com eles.
Depois que ele voltou do I.M.O., um conhecido que trabalhava em um escritório local do Partido dos Trabalhadores disse-lhe que figuras sêniores de uma agência secreta do governo estavam entrevistando amigos e parentes de Ri. Ele imediatamente sabia o que estava prestes a acontecer: o Estado aproveitaria seu talento para números, dando-lhe um emprego como hacker, ou como um funcionário no programa nuclear. Aparentemente, o Estado decidiu que ele não precisava ir para a faculdade antes de começar uma carreira de trabalho secreto. A perspectiva encheu-o de pavor. Trabalhar nas seções mais vigiadas dos militares significava que você foi cortado da sociedade. Ele não teria liberdade alguma. Ele também percebeu que se ele fosse instruído a se juntar a tal agência ele não poderia recusar.
Ri sabia que poderia competir no I.M.O. até os 18 anos, o que significava que ele poderia participar de mais uma competição antes de ser recrutado: um evento na Universidade de Ciência e Tecnologia de Hong Kong. Os matemáticos norte-coreanos não foram fortemente supervisionados na competição, e Ri estava em termos amigáveis com os professores que acompanhavam a equipe. Depois de ganhar outra medalha de prata, Ri arriscou. Ele saiu do dormitório onde estava hospedado e chamou um táxi para o aeroporto, onde , com a ajuda de um funcionário de uma companhia aérea amigável , encontrou o endereço do consulado sul-coreano. Ele pegou outro táxi lá e disse a um diplomata sul-coreano que ele queria desertar. Ele então passou setenta dias em Hong Kong, esperando nervosamente enquanto a delegação sul-coreana negociava sua passagem segura para Seul. (Após a deserção de Ri, a Coreia do Norte suspendeu seu programa de I.M.O. por dois anos, e agora envia um agente do governo com a equipe, para garantir que ninguém escape.)
Ri agora tem 23 anos e atende por um nome sul-coreano. Ele está estudando matemática na Universidade Nacional de Seul. Ele não vê seus pais desde que desertou. Em uma conversa recente, ele me disse que tinha desenvolvido seu plano de fuga sem qualquer ajuda externa, mas ele pode ter protegido seus entes queridos. Na Coreia do Norte, as famílias de desertores frequentemente encontram destinos sombrios. Ri disse que não se arrependeu de ter deixado seu país natal. Desde sua fuga, ele considerou como seu talento teria sido desperdiçado se tivesse ficado em Pyongyang. Em Seul, ele via apenas possibilidades. Ele me disse, com emoção, que esperava passar um ano nos Estados Unidos, em um programa de intercâmbio.
Uma das primeiras coisas que Ri fez depois que ele desembarcou na Coreia do Sul em 2016 foi entrar na internet. Com a ajuda de um mentor, ele criou uma conta no Gmail. O mentor então o encorajou a fazer sua primeira pesquisa no Google. Ele estava momentaneamente em uma perda. Na Coreia do Norte, onde a informação era estritamente controlada, a curiosidade de Ri era insaciável. Mas agora, com o mundo aparentemente na ponta dos dedos, ele se sentiu sobrecarregado pela escolha. Havia tanta coisa para saber. Ri abriu uma caixa de pesquisa e digitou “2한/の”: “Coreia do Norte”
Uma impressão inicial desta história errou a latitude aproximada da fronteira entre a Coreia do Norte e a Coreia do Sul. Uma versão anterior errou o nome do think tank da Fundação para a Defesa das Democracias.
FONTE: THE NEW YORKER