Do nerd solitário aos ataques cibernéticos em escala industrial

Obs.: Ressaltamos que todo material utilizado nesta postagem é de natureza pública, sendo acessível a todos que tem acesso à internet (os links serão publicados no final da postagem). O paper que serviu de base foi publicado a mais de 5 anos (2019). Os dados específicos sobre ataques incluindo tipo, órgão/empresa atacada, métodos e valores também são públicos. Esta publicação não tem como objetivo atacar, acusar ou manchar de forma negativa a imagem do Governo da Coreia do Norte tendo em vista que o que está sendo publicado nesta postagem já é do conhecimento público. Eventual contestação poderá ser feita após a publicação periódica de cada capítulo ou após a conclusão e havendo pedido expresso para exclusão de qualquer interessado avaliaremos a pertinência do pedido com brevidade e nos manifestaremos em seguida excluindo ou justificando a recusa. Ao longo do texto a eventual menção de carteiras digitais (wallets) e formas disponíveis para aumentar o anonimato não representam nenhum tipo de endosso ou indicação para eventuais leitores desta postagem. Eventual uso de mecanismos como misturadores pode ser considerado suspeito e eventuais criptomoedas movimentadas desta forma podem ser “marcadas” dificultando futuras negociações.

As postagens serão feitas de forma periódica conforme índice abaixo:

Índice

1 – Introdução

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

3 - Dois ataques cibernéticos contra o mesmo alvo

4 – Estrutura e órgãos cibernéticos da Coreia do Norte

5 - Os Objetivos das Operações Cibernéticas

a) Espionagem para Coleta de Informações
b) Operações de Ciberterrorismo
c) Operações de Guerra Financeira

6 – Conclusão

Apêndice

Filmes e Seriados: Ficção ou Realidade?

d/^.^\b

1 - Introdução

Print parcial da pág. 06 do relatório “Immunefi_Crypto_losses_In_Q1_2025” disponível no site: https://downloads.ctfassets.net/t3wqy70tc3bv/kicQd50NcNkEQyA1QmpOB/b365451e130c1b1c0cbe55c191a22d41/Immunefi_Crypto_Losses_In_Q1_2025.pdf

No print da página 06 do relatório publicado pela Immunefi relatando ataques apurados no primeiro trimestre de 2025 aparece o título “Hackers Norte Coreanos”. Neste tópico os dois grandes ataques registrados no 1º trimestre de 2025 são creditados a hackers Norte Coreanos. Do total de USD 1.623 bilhão a soma de 2 ataques totaliza USD 1.529 bilhão representando quase 95% em termos de valor.

Partindo deste relatório resolvemos olhar com um pouco mais de atenção esse cenário de ataques cibernéticos.

Começando pela definição mais comum a palavra ciberataque é usada quando um ou mais indivíduos atacam computadores com objetivos maliciosos visando roubar dados, impedir o funcionamento, causar danos, expor dados ou fragilidades etc. O acesso é feito ilegalmente e pode afetar desde um computador isolado até uma rede inteira. Existem intenções diferentes indo da motivação financeira, vingança, espionagem industrial até na guerra cibernética, aquela onde as armas utilizadas são: computadores, internet e os programas.

O estereótipo comum de nerd no universo da computação que geralmente é retratado em livros, artigos, seriados e filmes mostra um jovem enfurnado num quarto bagunçado. Ele é viciado em games, geralmente tem problemas de relacionamento e algum conhecimento de programação, ou onde estão os programinhas que precisa usar para praticar seus ataques. Lembrando que retratamos o estereótipo da ficção, não trouxemos uma definição técnica de nerd.

Para quem quer um conceito mais estruturado deixamos aqui uma transcrição do que diz a Wikipédia que retrata nerd como um conceito sociológico geralmente atrelado à adolescência e juventude que nasceu culturalmente dentro do sistema escolar Americano: “Em termos gerais, o nerd é uma pessoa vista como excessivamente estudiosa, obsessiva por assuntos que a maioria das pessoas não se interessa, e com falta de habilidades sociais fora do meio nerd. Tal pessoa pode gastar quantidades excessivas de tempo em atividades impopulares, pouco conhecidas ou não, que geralmente são altamente técnicas, complexas, abstratas ou relacionadas a livros filmes e séries de ficção ou fantasia, com exclusão de atividades mais comuns. Além disso, muitos chamados nerds são descritos como sendo tímidos e excêntricos, bem como ter muitas dificuldades em praticar, ou mesmo acompanhar esportes ”.

A escala industrial entra por nossa conta e tem como objetivo relacionar ataques realizados em larga escala, com uso de métodos automatizados desenvolvidos por equipes focadas nessa tarefa. Os ataques são executados de forma coordenada, com objetivos específicos.

Num certo sentido o nerd solitário era uma espécie de artesão, criando ou obtendo os programas necessários para executar seus ataques em pequena escala. O ataque em escala industrial é uma espécie de evolução do processo artesanal. A “industrialização” envolve a escolha e treinamento dos “membros” incluindo apoio financeiro para custear o aperfeiçoar o conhecimento dos escolhidos. Esses membros treinados atuam praticamente como soldados numa guerra virtual agindo contra objetivos selecionados por mandatários de escalões superiores e a partir de instalações e equipamentos do mandatário.

Esta postagem tem como base o paper “The All-Purpose Sword: North Korea’s Cyber Operations and Strategies” (em tradução livre: A Espada Multiuso: Operações e Estratégias Cibernéticas da Coreia do Norte), publicado em 2019 que foi escrito por três Sul Coreanos, um tenente da força aérea (Ji Young, Kong) e dois professores universitários (Jong In, Lim e Kyoung Gon, Kim). Contando a introdução e a conclusão o paper tem 5 capítulos. Os capítulos centrais são os capítulos 2. ORGANIZATIONS OF CYBER OPERATIONS IN NORTH KOREA; 3. CYBER OPERATIONS ATTRIBUTED TO NORTH KOREA; e 4. STRATEGIES (em tradução livre: 2. Estrutura Organizacional das Operações Cibernéticas Norte Coreanas; 3. Operações Cibernéticas Atribuídas aos Norte Coreanos; e 4. Estratégias).

Ao longo do texto acrescentaremos outros aspectos que julgarmos pertinente incluindo alguns eventuais acontecimentos posteriores a 2019, ano em que o paper foi publicado. Os links para o texto original do paper (em inglês) e para as demais fontes consultadas estarão no final da postagem.

Sempre que a palavra hacker aparecer nesta postagem será no sentido negativo. Sabemos que existem hackers do bem e a turma do mal, mas nesta postagem vamos generalizar e fazer de conta que hackers sempre são mal-intencionados. O relatório da Immunefi chama os ciberatacantes Norte Coreanos de hackers, generalizando todos como participantes da turma do mal.

Link para o paper (em inglês):

Link para o relatório Immunefi citado acima:

Continua …

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

De acordo com os autores do paper o interesse dos Norte-coreanos pelas questões cibernéticas nasceu durante o governo de Kim Jong-Il (1994/2011), pai do atual governante Kim Jong-Un (2011 / atual). (Nos países asiáticos tais como China, Coréia e Japão os nomes são escritos começando pelo sobrenome, ao contrário do que é adotado, por exemplo, aqui no Brasil). Durante o governo de Kim Jong-Il o mundo viu três guerras que chamaram sua atenção: Guerra do Golfo em 1991; Guerra do Kosovo em 1999 e Guerra do Iraque em 2003. Estas guerras mostraram para Kim Jong-Il a importância de ter capacidade cibernética. É dele a seguinte frase num guia sobre guerra eletrônica publicado em 2005: “If the Internet is like a gun, cyber-attacks are like atomic bombs”, em tradução livre: “Se a Internet é como uma arma, ataques cibernéticos são como bombas atômicas”. As unidades cibernéticas do governo Norte-coreano nasceram com objetivo de ser um poder, tanto sob o aspecto ofensivo como defensivo. Em tempos de paz atua colhendo informações e em tempos de guerra servirá para atacar estruturas cibernéticas do inimigo, tanto civis como militares.

O atual governante da Coreia do Norte, Kim Jong-Un, por acaso, é formado em ciência da computação, provavelmente por influência do pai. Após assumir o governo sucedendo seu pai ele disse que o uso da tecnologia da informação e o apoio da agência de inteligência da Coreia do Norte, conhecido pela sigla RGB – Reconnaissance General Bureau (Gabinete Geral de Reconhecimento) seria possível superar as sanções impostas aos Norte-coreanos e indo além, construir uma nação forte e próspera. A propósito existem várias unidades do governo Norte-coreano atuando na esfera cibernética, divididos basicamente em duas vertentes, um vinculado ao lado “civil” como é o caso do RGB e outro subordinado ao lado “militar” vinculado a órgãos da estrutura militar da Coréia do Sul. Para Kim Jon-Un os membros do RGB são “guerreiros cibernéticos”.

Um desertor de alta patente relatou que todo ano cerca de 50 a 60 jovens escolhidos entre soldados de elite com habilidades em computação são enviados para estudar computação no exterior. Estima-se que à Coreia do Norte possui em torno de 7.000 especialistas atuando em diversas unidades do governo Norte-coreano especialmente voltados para a guerra cibernética.

A escolha das ações de natureza cibernética em escala industrial tem vantagens tais como: I) As unidades podem operar em tempos de paz ou de guerra, ofensiva ou defensivamente, dependendo do interesse e/ou do momento; II) Os custos operacionais são menores se comparados com outras ações, como é o caso de uma guerra armada. III) As ações cibernéticas podem ser atribuídas a terroristas, hackers etc. sem vinculação direta com governo Norte-coreano, que sempre negará seu envolvimento; e IV) uma guerra convencional pode deixar pistas como armamentos utilizados e eventuais soldados capturados.

Outro aspecto materializado no estudo dos especialistas Sul-coreanos é o conceito de “guerra estendida”. Isoladamente a Coréia do Norte não teria condições de atuar no terreno cibernético com a mesma desenvoltura com que atua. O que se estende na realidade é a capacidade de atuação, supostamente apoiado por países vizinhos como a China e a Rússia. Segundo mapas publicados no paper existem cabos de fibra óptica cruzando a fronteira da Coréia do Norte com a China e a Rússia. O paper ainda reporta que diversas operações cibernéticas agressivas partem de dentro do território Chinês. Outro país que aparentemente mantém cooperação estreita com a Coréia do Norte desde 2012 é o Irã. Analistas de segurança identificaram semelhanças entre as técnicas de ataque e arquivos maliciosos utilizados na operação Blockbuster (ataque contra a Sony Pictures em 2013) e um ataque que tinha sido desferido em 2012 contra a petrolífera Saudi Aramco (empresa da Arábia Saudita que é um país rival do Irã).

Outros países onde agentes Norte-coreanos supostamente teriam ou estariam atuando são: Índia, Malásia, Nova Zelândia, Nepal, Quênia, Moçambique e Indonésia. Neste caso não significa que estes países colaboram com a Coréia do Norte, tais agentes possivelmente atuam infiltrados, sem conhecimento dos respetivos governos locais.

Curiosidade

No início do ano de 2018 a agência de notícias britânica Reuters divulgou um fato no mínimo inusitado. O título dizia o seguinte: North Korean leaders used Brazilian passports to apply for Western visas: sources, em tradução livre: “Fontes disseram que líderes Norte-coreanos usaram passaportes brasileiros para solicitar visto de entrada em países ocidentais”.

Print parcial retirado em 21 05 25 de: Exclusive - North Korean leaders used Brazilian passports to apply for Western visas: sources | Reuters

Os passaportes teriam sido usados para visitar países ocidentais na década de 90. Os passaportes foram emitidos com os nomes de Josef Pwag (Kim Jon-Un) e Ijong Tchoi (Kim Jon-Il) em substituição a passaportes vencidos que supostamente teriam sido emitidos no Brasil. O jornal Japonês Yomiuri Shimbun publicou uma notícia em 2011 dizendo que Kim Jong-Un teria visitado o Japão usando um passaporte brasileiro no ano de 1991. O Ministério das Relações Exteriores do Brasil reconheceu a autenticidade dos passaportes que teriam sido emitidos pela Embaixada do Brasil em Praga no dia 26/02/1996 com validade de 10 anos.

As fontes citadas pela Reuters disseram que as fotos dos passaportes em questão seriam verdadeiras e teriam sido comprovadas via uso de tecnologia de reconhecimento facial. Quem tiver curiosidade pode olhar a notícia completa nos links ou pesquisar pelos nomes falsos no Google para olhar as imagens dos dois passaportes brasileiros emitidos para os governantes Norte-coreanos.

Links:

https://www.reuters.com/article/world/exclusive-north-korean-leaders-used-brazilian-passports-to-apply-for-western-v-idUSKCN1GB2AZ/

Paper em inglês:

Continua …

3 - Dois ataques cibernéticos contra o mesmo alvo

O paper que serve de base para esta postagem tem como foco os ataques cibernéticos supostamente praticados por agentes a serviço do governo da Coréia do Norte. Abrimos espaço para citar duas ações que não tem como origem o governo Norte-coreano, trata de ataques sofridos pelo governo do Irã.

O primeiro ataque ocorreu em 2010, cerca de um ano antes da transição de governo na Coreia do Norte e o segundo ocorreu cerca de 11 anos depois, em 2021. Não há provas concretas da origem do ataque, mas o alvo nos dois casos foi o programa nuclear do Irã. Os detalhes teóricos do primeiro ataque são mais conhecidos e causou um grande estrago. O vetor de ataque foi um worm chamado stuxnet que apareceu em 2009 infectando máquinas na Indonésia, Estados Unidos, Austrália, Inglaterra, Malásia e Paquistão. Entre outras teorias atribui-se a criação do vírus específico que atacou instalações nucleares iranianas a dois países: EUA e Israel e ainda pairam dúvidas quanto a participação de alemães e britânicos. O grau de sofisticação e a reprodução de telas simulando dados falsos pode indicar que o stuxnet não poderia ter sido criado por hackers “domésticos”. O vírus teria sido testado antes numa usina nuclear de Israel (complexo de Dimona) que por acaso operava centrífugas idênticas às da usina Iraniana. Entre outros relatos cinematográficos o vírus teria entrado nos sistemas da Siemens que controlavam a usina nuclear Iraniana de Natanz através de uma simples conexão USB. Uma vez inserido no sistema o vírus adaptado pelos atacantes teria simulado telas de controle falsos enquanto acelerava a rotação das centrífugas fazendo os rotores quebrarem.

O stuxnet é considerado o primeiro worm de computador que tinha embutido um rootkit de PLC (Programmable Logic Controller) ou CLP (controlador lógico programável), específico para controlar equipamentos e processos industriais e neste caso, aparentemente permitiu acesso remoto aos invasores. Todavia existem dúvidas se a rede da usina atacada estaria ligada à internet ou não. Outro aspecto específico deste worm é que ele foi criado especificamente para atacar um sistema operacional nativo da Siemens chamado SCADA – (Supervisory Control and Data Aquisition) ou Sistema de Supervisão e Aquisição de Dados) que foi desenvolvido unicamente para controlar as centrífugas de enriquecimento de urânio.

Print parcial retirado em 05/05/2025 de: Vírus Stuxnet, que atacou usinas nucleares no Irã, foi criado em parceria por EUA e Israel - Jornal O Globo

Onze anos depois, em 2021, o programa nuclear Iraniano aparentemente sofreu outro ataque cibernético. O governo Iraniano atribuiu ao governo Israelense um ataque cibernético que chamou de “terrorismo nuclear”. O ataque cibernético supostamente teria sido feito pelo Mossad (Serviço de Inteligência de Israel). O ataque não deixou vítimas e não gerou contaminação, mas causou danos extensos maiores do que foram admitidos pelo governo Iraniano atrasando o programa nuclear daquele país.

Print parcial retirado em 05/05/2025 de: Irã diz que pane elétrica em usina atômica foi ato de ‘terrorismo nuclear’; Israel não nega autoria de ciberataque - Jornal O Globo

Links:

4 – Estrutura e órgãos cibernéticos da Coreia do Norte

Os departamentos que exercem atividades cibernéticas fazem parte de uma estrutura principal denominada State Affairs Commission of Democratic People’s of Korea, criada em 2016 para substituir a National Defence Commission. Em tradução livre o nome do órgão é algo como Comissão de Assuntos de Estado da República Popular Democrática da Coréia que substituiu a Comissão de Defesa Nacional. A principal diferença entre o órgão anterior que era comandado pelos militares é que a Comissão de Assuntos de Estado é a autoridade suprema da Coréia do Norte e sua chefia cabe ao chefe de Estado, também conhecido como “líder supremo” que atualmente é Kim Jong-Un. Toda a estrutura militar da Coréia do Norte também está inserida nesta estrutura.

De acordo com a figura abaixo extraída do paper nota-se que as três forças militares possuem unidades cibernéticas destacando-se a marinha que tem um órgão chamado Command Automation Bureau com três subunidades cibernéticas, os escritórios 31, 32 e 56.

Print parcial retirado da pág 04 do paper: https://www.ccdcoe.org/uploads/2019/06/Art_08_The-All-Purpose-Sword.pdf

Sem dúvida o principal órgão voltado para atividades cibernéticas do governo Norte Coreano é a agência de inteligência conhecida como RGB, já citado anteriormente. Este órgão é diretamente subordinado ao comando central, ou seja, se reporta diretamente a Kim Jong-Un como fica claro na figura que mostra o RGB como um braço apartado dentro da estrutura principal.

Para citar rapidamente, no outro braço da estrutura militar propriamente dita os principais departamentos são: Military Security Bureau ou Military Security Command, Guard Command ou General Guard Bureau e General Staff Department. O Departamento de Segurança Militar é a área de contra inteligência. O Comando da Guarda também conhecido como Gabinete da Guarda é responsável pela segurança do líder Norte Coreano, dos seus familiares e dos altos funcionários do governo, é equivalente ao serviço secreto dos EUA. Por último temos o Departamento de Estado-Maior do Exército Popular Coreano cujo chefe é responsável pelas questões administrativas, operacionais e logísticas.

Apesar de não estarem ligados diretamente a Kim Jong-Un como ocorre com o RGB, as forças armadas têm seu braço cibernético. O foco principal desse braço cibernético é o de combinar tecnologia cibernética com as armas e outras ferramentas de combate. Entre outras atividades cuidam de toda cadeia de softwares utilizados pelas forças armadas. O Command Automation Bureau controla as Unit’s 31,32 e 56 que são responsáveis respectivamente pelo desenvolvimento de malwares, software militar e software de comando e controle. Tratando-se de órgãos subordinados ao aparato militar ostensivo da Coreia do Norte tudo que é feito neste lado da estrutura parte de um contexto, o de que suas ações servirão como ferramenta numa guerra aberta.

Em termos gerais o RGB tem sete departamentos. O primeiro responde por treinamento e assistência técnica. O segundo cuida da inteligência militar. O terceiro é responsável por hackear computadores e sinais de inteligência (seja lá o que isso signifique). O quinto também conhecido como Bureau 35 conduz operações clandestinas no exterior e seria supostamente o órgão responsável pelo assassinato de Kim Jong-Nam, filho mais velho de Kim-Jong-Il que seria provável sucessor e meio irmão de Kim Jong-Un. O sexto estabelece diretrizes políticas e faz contatos militares. O sétimo é responsável por assuntos de logística. Faltou ou pulamos o quarto departamento. Na lista dos sete departamentos consta um departamento que não tem número, como os outros, constando apenas como Bureau, que tem como missão ser a principal unidade de guerra cibernética do RGB. O quarto departamento fica no mistério.

O RGB tem um braço que é conhecido como Bureau 121, a quem se atribui alguns grandes ataques cibernéticos realizados nos tempos recentes. Entre outras responsabilidades o Bureau 121 supostamente atua nas tentativas de infiltração em redes de computadores dos “inimigos”, monitoramento de desertores, coleta de dados e informações, implantação de vírus, pesquisa e desenvolvimento de malwares, pesquisa de vulnerabilidades etc.

A estrutura do Bureau 121 conta com cinco “departamentos”: I) Lab 110 que por sua vez tem três escritórios (Office 98, Office 414 e Office 35); II) Unit 180; III) Unit 91; IV) 128 Liaison Office; e V) 413 Liaison Office. Bureau a princípio pode ser traduzido como escritório, mas no caso do organograma desenhado no paper cabe entender o Bureau 121 como um departamento subdividido em áreas específicas. Provavelmente Lab deve ser abreviação de laboratório. Office conhecemos como escritório. Unit supomos que se trata de unidade. Liaison se traduz como ligação, portanto temos dois escritórios de ligação.

Cada laboratório, escritório ou departamento tem um número. Curiosamente os escritórios de ligação tem número antes do nome, possivelmente tem algum significado, enquanto os demais seguem o padrão com número após o nome.

Subordinado ao Bureau 121 existe a Unit 180 que supostamente atua nas operações de furto cibernético atacando pessoas e empresas localizadas no exterior. Supõe-se que parte dos membros desta unidade não operam a partir da Coreia do Norte. Talvez estejam alocados perto da fronteira ou é mais provável que estejam instalados dentro da China ou da Rússia, como empregados de empresas de fachada.

Outra unidade subordinada ao Bureau 121 é a Unit 91 que supostamente tem como objetivo furtar tecnologia militar.

Os Liaison Office 128 e 414 como o próprio nome indica atuam dando suporte para os agentes no exterior. Cuidam dos contatos, passam instruções, recebem dados, relatórios etc. Além disso acredita-se que estes escritórios também tenham outras atribuições. O escritório de ligação 128 supostamente tem equipes que estudam estratégias de ataque cibernético e o escritório 414 seria encarregado do treinamento destas equipes.

Algumas unidades subordinadas ao Bureau 121 tem uma atuação essencialmente operacional dando apoio aos agentes infiltrados em outros países. Os agentes destas unidades cuidam das comunicações entre os agentes no exterior e seus contatos na Coreia do Norte podendo atuar também na escolta pessoal desses agentes infiltrados.

A partir de uma visão estrutural dos órgãos e os respectivos objetivos de cada unidade é possível notar que existe uma especialização exemplar. Em outros termos, trata-se de uma verdadeira estrutura que opera numa escala industrial, muito longe da ideia do nerd solitário hackeando o Pentágono que filmes e seriados costumam criar. Temos um braço cibernético voltado exclusivamente para pensar e atuar se e quando o país estiver em guerra. E existe um braço criado exclusivamente para operar clandestinamente, nas sombras, estruturado dentro da área de inteligência e subordinado diretamente ao comandante geral, o próprio Kim Jong-Un. Cada unidade se dedica a um tipo de atividade no campo cibernético evitando sobreposição de atividades, fato que contribui no aperfeiçoamento dos seus membros.

Voltando a questão da evolução que partiu de um cenário meio artesanal para o atual estágio praticamente industrial podemos dizer que existe uma linha de produção operacional cibernética. Se procurar bem pode ser que cada unidade tenha metas para atingir. O que parece certo de uma forma geral é que os melhores ganham recompensas ou promoções na hierarquia. Isso representa, por exemplo, receber benefícios como acesso a moradia em bairros específicos e a lojas e mercados que não estão à disposição da maioria da população. Seleção dos melhores, apoio para estudos, segmentação por atividades ou objetivos, metas, recompensas etc. lembram um modo de vida empresarial e capitalista que aparentemente não é praticado na economia da República Popular Democrática da Coreia (RPDC).

Links:

Continua…

5 - Os Objetivos das Operações Cibernéticas

Neste tópico entramos no terreno das TTPs (Tactis, Tecnhniques, and Procedures), em tradução livre: Táticas, Técnicas e Procedimentos. É um tripé que a inteligência militar estuda com afinco.

No quesito tático os especialistas avaliam os porquês do ataque, quais são (ou foram) as metas ou objetivos do atacante. Também pode ser visto como objetivo imediato. Obter acesso ou se infiltrar numa rede sem ser detectado é um exemplo de ataque tático.

No aspecto técnico de uma análise entra o como, ou seja, qual é o método usado pelo atacante para buscar seu objetivo. Lembrando que no quesito anterior ficou definido o motivo do ataque (porquê) agora cabe definir como isso será executado. Enviar e-mails com link malicioso para funcionários que tem acesso aos computadores do alvo é um exemplo típico desse método.

Num nível especificamente técnico temos o procedimento que se refere as ações específicas que foram adotadas na ponta, também conhecido como o quê será feito após a obtenção do acesso não autorizado. Essa ponta do tripé também pode ser citado como o momento da definição do passo a passo. Exemplos: criar malwares e scripts personalizados para realizar determinadas ações no alvo atacado, definir o momento em que o ataque terá início, escolher o(s) alvo(s) específico(s), por exemplo, se o interesse é atacar a infraestrutura (aeroportos, rede de transmissão de energia, bases militares etc.) é aqui que se define(m) o(s) alvo(s). Por consequência a escolha do(s) alvo(s) também define detalhes específicos como uso de um malware ou de outro incluindo a adaptação para cada alvo específico em função de eventuais características específicas dos sistemas a serem atacados.

A sequência das siglas indica o processo começando pela definição do alvo ou da motivação, na escolha da forma de ataque e culmina com os resultados a serem alcançados.

No caso da estrutura de guerra cibernética criado pelo governo Norte-coreano as diversas unidades espalhadas na estrutura do State Affairs Commission (Comissão de Assuntos de Estado) têm objetivos específicos.

De acordo com o paper existem três objetivos claros com base em algumas operações supostamente atribuídas à Coreia do Norte: a) Espionagem para obter informações (dados, tecnologia, estratégias militares etc.); b) Terrorismo Cibernético; e c) Guerra Financeira.

O paper também relata que a comunidade de analistas de segurança, com base nos malwares e nas táticas utilizadas, conseguiu identificar diversos grupos que supostamente podem estar atuando sob patrocínio do Governo Norte Coreano para cumprir os objetivos mencionados no parágrafo anterior. Alguns grupos conhecidos que supostamente estão agindo para o governo da Coréia do Norte e que frequentemente são relacionados a ataques cibernéticos que causaram um estrago considerável nos alvos atacados são: Lazarus, Bluenoroff, Hidden Cobra, Andariel, Bureau 121, SAPT37, ScarCruft, Reaper, Group123, Beagleboyz e DarkHotel.

a) Espionagem para Coleta de Informações

O paper traz dados, por exemplo, de ataques batizados de operação Kimsuky que foram realizados a partir de 2012 ou 2013 e algumas variantes desse ataque se estenderam até 2018. A principal forma de ataque utilizada foi o conhecido método de envio de e-mails do tipo phishing, por exemplo, enviados de contas de e-mails supostamente vindos da Bélgica para funcionários de empresas de energia, universidades e órgãos públicos da Coreia do Sul, com foco nos que atuavam no ramo da energia nuclear. O phishing é uma técnica de engenharia social usada com intuito de enganar o alvo para coletar e usar informações confidenciais.

Timeline das operações de espionagem supostamente praticadas pela Coréia do Norte entre 2011 a 2018.

Print extraído da página 8 do paper The All-Purpose Sword: North Korea’s Cyber Operations and Strategies (link no final da postagem).

Outra operação foi batizada com a sigla KHNP (Korea Hydro and Nuclear Power). Esta ação coletou e divulgou informações técnicas e dados de funcionários da KHNP, uma subsidiária da KEPCO (Korea Electric Power Corporation) que opera mais de 50 usinas hidroelétricas e nucleares fornecendo cerca de um terço da energia elétrica da Coreia do Sul.

Um exemplo que aparentemente dá embasamento para os analistas concluírem que se trata de uma ação orquestrada a partir de um comando central é o uso dos mesmos metadados, nomes semelhantes de servidor, mesmo parâmetro HTTP para se comunicar com o servidor e nomes de host do servidor semelhantes em operações iniciadas a partir do envio de malwares que foram realizadas em 2015 e depois em 2018.

Print extraído da pág 9 do paper The All-Purpose Sword: North Korea’s Cyber Operations and Strategies (link no final da postagem).

Link para o paper:

Continua …

b) Operações de Ciberterrorismo

Dizem que não há crime perfeito, se procurar direito alguma pista sempre aparece. O paper que serve como base para esta postagem foi publicado em 2019, cinco anos no universo da tecnologia é bastante tempo. Como qualquer “empreendimento” que atua numa escala industrial o investimento em pesquisa e desenvolvimento deve ser parte da rotina, ainda mais neste ramo específico. É um mero chute, mas imagino que nesta altura do campeonato, em meados do ano de 2025 os “empreendedores” deste segmento estejam muito interessados e estejam utilizando tudo que a IA – Inteligência Artificial pode oferecer para melhorar seus resultados. Aquela frase que a gente ouve de vez em quando por aí dizendo mais ou menos o seguinte “enquanto você está indo o outro já está voltando” de certa forma reflete bem o que ocorre nesse mundo. Os “empreendedores” que atuam nas sombras sempre tentam estar um passo adiante do inimigo declarado. Na maioria das vezes o objetivo é de procurar e explorar falhas nos sistemas desses inimigos, ou até mesmo dos incautos desprevenidos. Quando os ataques são disseminados pela web as empresas de segurança criam as atualizações para consertar o que já ocorreu e para prevenir via antivírus os futuros ataques.

A evolução do mundo não anda só pelo lado bom, do progresso e com objetivo de melhorar nossas modestas vidas. Do lado de quem não quer exatamente o nosso bem-estar também se busca progresso.

Imagem retirada em 30 06 2025 do paper disponível em: https://www.ccdcoe.org/uploads/2019/06/Art_08_The-All-Purpose-Sword.pdf

Voltando no tempo e olhando lá para os idos de 2013 e 2014, aparentemente os “empreendedores” cometeram erros mais ou menos triviais.

Em 2013 foi lançado um ataque contra empresas de mídia e de finanças da Coreia do Sul. Batizado de Operation DarkSeoul o ataque teve como alvo vítimas previamente escolhidas, no entanto, os endereços de IP usados no ataque já tinham sido utilizados em outros ataques e malwares criados com caracteres específicos já tinham aparecido em ações anteriores onde malwares com características semelhantes tinham sido utilizados.

Talvez o evento que gerou grande repercussão, pelo menos na comunidade de segurança cibernética, ocorreu em 2014. Batizado de Operation BlockBuster o ataque atingiu equipamentos dos funcionários da Sony Pictures Entertainment. O pacote de ataque incluiu malwares, worms, implantação de escuta, backdoor, ferramentas de proxy, apagamento de disco rígido e de rastros dos atacantes. Com base no uso desse pacote estima-se que o objetivo do ataque era ter acesso repetido sem ser detectado, extração e apagamento de dados e remoção de evidências do ataque.

Como já abordamos anteriormente quando tratamos dos TTPs (Tactis, Tecnhniques, and Procedures) houve método no ataque.

• Porque a Sony foi atacada? A Sony estava prestes a lançar um filme que contava a história de uma tentativa de assassinato do mandatário Norte Coreano Kim Jon-Un;
• Como a Sony foi atacada? Com uso de malwares e worms; e
• O que foi feito no ataque lançado contra a Sony? Causou humilhação da vítima expondo dados sigilosos, revelando e-mails etc.

De acordo com análise do FBI (Federal Bureau of Investigation) o malware de exclusão de dados mostrava semelhança em linhas específicas de código, algoritmos de criptografia, métodos de exclusão de dados e comprometimento de redes com outros malwares que tinham sido detectados em ataques anteriores. Outro indício mostrou que endereços de IP codificados no malware de exclusão de dados eram originários da Coreia do Norte.

Nem todos acreditam que o ataque contra a Sony foi obra de hackers a serviço do governo Norte Coreano. Os que seguem essa linha de pensamento indicam que pode ter sido um trabalho interno argumentando que (naquela época, 2014) transferir tantos terabytes para fora sem que ninguém percebesse seria improvável. Entre os possíveis suspeitos estariam 6 ex-funcionários descontentes da Sony que tinham sido demitidos durante uma reestruturação realizada em maio de 2014.

Imagem retirada em 30 06 25 do paper disponível em: https://www.ccdcoe.org/uploads/2019/06/Art_08_The-All-Purpose-Sword.pdf

Os links são os mesmos já citados anteriormente.

Continua …

c – Operações de Guerra Financeira

O terceiro pilar dessa estrutura cibernética estatal tem como alvo o sistema financeiro mundial, não importa onde a instituição financeira esteja localizada. Atualmente os casos mais espetaculares são registrados no universo das criptomoedas, com foco especial nas corretoras que costumam movimentar e manter grandes volumes sob gestão, mas nem sempre foi assim.

Em 2016 o Banco Central da República Popular de Bangladesh foi alvo de um ataque que explorou vulnerabilidade de segurança da rede SWIFT (Society for Worldwide Interbank Financial Telecommunication), vale ressaltar que não tem nada a ver com Taylor, a cantora. A rede SWIFT nasceu em 1973 e interliga cerca de 11 mil instituições financeiras de 200 países. Sua atividade não é movimentar ou transferir dinheiro, a rede atua essencialmente na troca de informações e instruções de pagamento entre as instituições financeiras participantes da rede. Em outros termos é uma espécie de servidor privado de mensagens, é um serviço de mensageria “segura”. No ataque um total 35 ordens falsas de transferência de dinheiro, totalizando cerca de USD 1 bilhão, foram emitidas com uso de credenciais obtidas ilegalmente explorando fragilidades do sistema. Os recursos estavam numa conta em nome do Banco Central de Bangladesh mantido no Federal Reserve Bank de New York. Do total de 35 ordens de transferência 5 foram cumpridas somando cerca de USD 101 milhões. USD 81 milhões tiveram como destino as Filipinas a crédito de 5 contas no Rizal Commercial Banking Corporation abertas com documentos falsos. Outros USD 20 milhões seguiram para o Sri Lanka a favor da Fundação Shalika e foi essa transação que levantou suspeitas. Um ponto foi o erro na grafia da palavra Foundation que estava escrito como Fandation na ordem de transferência e o segundo ponto foi o valor, que era incomum para um pais pequeno como o Sri Lanka, com pouco mais de 20 milhões de habitantes e que na época tinha uma economia essencialmente rural.

Investigadores forenses apuraram que o ataque foi feito com uso de um malware que de algum jeito se instalou no sistema do Banco Central de Bangladesh no começo de 2016. Esse malware basicamente coletou informações operacionais sobre os procedimentos utilizados na transferência de fundos entre fronteiras via SWIFT. O FBI não se descarta a hipótese de ter havido colaboração interna. Para empresas de segurança como por exemplo a Symantec existem semelhanças entre os métodos utilizados no ataque ao Banco Central de Bangladesh e o ataque feito contra a Sony Pictures em 2014.

O ataque mais recente que supostamente é atribuído a Coreia do Norte, de acordo com o FBI é o caso da corretora de criptomoedas Bybit que rendeu cerca de USD 1.4 bilhão. Alguns chamam a Bybit de plataforma e outros de bolsa de criptomoedas.

Print parcial retirado em 03 07 25 do site onde está disponível o inteiro teor (em inglês): Internet Crime Complaint Center (IC3) | North Korea Responsible for $1.5 Billion Bybit Hack

Inacreditavelmente o estoque de cerca de 1.4 bilhão de dólares da criptomoedas ethereum era mantido numa carteira digital distribuído gratuitamente, da empresa Safe. O ataque começou com a invasão do computador de um desenvolvedor da Safe. Existia uma proteção que exigia a aprovação de 3 pessoas para transferência de recursos de uma conta para outra (carteira digital do tipo multiassinaturas), no entanto, quando o CEO da Bybit recebeu e autorizou um pedido fake para aprovar uma transação, na realidade estava transferindo o controle da conta para o atacante. Joe Tidy da rede pública de rádio e televisão do Reino Unido BBC (British Broadcasting Corporation) em artigo publicado no dia 10/03/25 estima que cerca de USD 300 milhões de dólares (pouco mais de R$ 1.6 bilhão) foram efetivamente sacados no ataque. De acordo com a reportagem a própria Bybit estimava em março que cerca de 20% do total estava perdido.

Uma entre outras providências interessantes tomadas pela Bybit foi lançar um programa de recompensas que é bem conhecido no meio da tecnologia, especialmente no universo dos hackers do bem, que no caso específico foi batizado de Lazarus Bounty. O Blockchain do Ethereum é público e qualquer pessoa pode acessá-lo e isso permite o rastreamento das movimentações realizadas no Blockchain. De acordo com o site do programa de recompensas o valor que foi hackeado é de USD 1,4 bilhão. Os dados disponíveis do programa Lazarus Bounty indicam alguns números mais atualizados em relação ao que foi publicado em março de 2025 pela BBC. Desse montante cerca de USD 450 milhões pode ser rastreado, USD 73.3 milhões estão congelados e cerca de USD 879 milhões, quase 63% do total hackeado, estão fora do alcance.

Print parcial retirado em 03 07 25 do site: LazarusBounty | Instant 10% Rewards for Fund Recovery | Hack Investigation | $140M Bounty Rewards

As criptomoedas nasceram com foco na privacidade e isso pode dificultar a investigação quando ocorre algum ataque criminoso. Com tempo, dedicação, foco e conhecimento um resultado positivo poderá ser alcançado. Um exemplo disso é a prisão do casal de hackers que supostamente estariam por trás de um grande ataque sofrido pela Bitfinex em 2016, quando hackearam quase 120 mil bitcoins e que foram descobertos em 2022. Conforme dados do programa Lazarus Bounty mais de 60% do total hackeado está “desaparecido”. Os grandes Blockchains das principais criptomoedas são do tipo aberto, no entanto existem mecanismos que tentam preservar o anonimato nesse universo que é bastante transparente por um lado e que garante relativo anonimato na outra ponta. Outro componente que é vital na tentativa de recuperação é o tempo, quanto mais o tempo passa, possivelmente mais movimentações vão sendo feitas num método que agrupa e redistribui as criptomoedas entre várias contas, essa mistura de valores é feita com uso dos mixers. Uma carteira digital (wallet) utilizada como destino ou como ponto de passagem que foi usada no ataque é a Wasabi Wallet que tem uma funcionalidade integrada à carteira que permite a realização de combinação de bitcoins de uma carteira com bitcoins de outras carteiras, esse mixer é conhecido como CoinJoin. O uso de misturadores é uma forma interessante de preservar o anonimato e pode ter nascido com esse intuito. No entanto, como várias outras criações que surgiram ao longo do tempo, também se tornou uma “ferramenta” que tem utilidade para os amigos do alheio, tal qual o pé de cabra para os mais velhos. Do outro lado dessa disputa os países que acompanham a evolução das criptomoedas já entenderam os riscos e problemas do uso desses misturadores e alguns já proibem seu uso. Os mixers também são conhecidos como tumblers.

Links:

https://www.coinbase.com/pt-br/learn/your-crypto/what-is-a-bitcoin-mixer

Continua …

6 – Conclusão

O paper que guiou esta postagem é relativamente antigo (2019) considerando a velocidade que movimenta o universo de TI. Em termos de aprendizado, especificamente no assunto tratado no paper, a Coreia do Norte não é um país inovador. Tanto Kim Jon-Un, o atual líder, como seu pai Kim Jon-Il encaminharam suas decisões no terreno da guerra cibernética olhando o que acontecia em outras regiões e nos respectivos conflitos travados nestas regiões. A partir destas observações e da constatação da importância de ter uma capacidade cibernética no contexto das guerras modernas, boa parte dos investimentos seguiu nesta direção. Os resultados aparecem aqui e ali. A ligação da Coreia do Norte com energia nuclear é antiga, por volta de 1965, quando recebeu um reator nuclear da antiga União Soviética para pesquisa. Vale registrar que o país tem jazidas próprias de urânio. Em 1985 a Coreia do Norte assinou o TNP (Tratado de não proliferação de armas nucleares). Mesmo tendo assinado o tratado o país dificultava as inspeções e ocultava a construção de instalações nucleares que acabaram sendo detectadas por imagens de satélites. Ao longo dos anos, especialmente os governos de Carter e Clinton, abriram negociações com o intuito de acabar com o programa nuclear que literalmente era clandestino. Considerando que a Coreia do Norte não abandonava seu programa nuclear, em 2000 o governo Bush deu uma guinada e incluiu o país no que foi batizado de eixo do mal junto com Irã e Iraque. Nesse contexto o ponto de inflexão que alavancou a estrutura de guerra cibernética da Coreia do Sul possivelmente foi o ano de 2003, quando o país se retirou do tratado de não proliferação de armas nucleares. Ao todo foram registrados seis testes nucleares atribuídos a Coreia do Norte entre os anos de 2006 (cerca de 1 quiloton) e 2017 (cerca de 250 quilotons), possivelmente em túneis numa região conhecida como Punggye-ri.

Estima-se que parte do programa nuclear da Coreia do Norte é bancada pelas ações que são feitas por grupos hackers supostamente ligados ao governo. Bush atacou o Iraque usando o aparente pretexto das armas químicas, Saddam Hussein foi capturado em 2003 e acabou sendo executado em 2006. Recentemente Trump despejou bombas poderosas com intuito de destruir instalações nucleares subterrâneas do Irã. O programa nuclear Norte Coreano entrou num caminho sem volta. O fim de Saddam no Iraque e o recente bombardeio americano contra as instalações nucleares Iranianas sinaliza para o governo Norte Coreano que a capacidade nuclear os protege desse tipo de ataque. Iraque tentou ser uma potência nuclear, mas seus planos fracassaram quando Israel atacou e destruiu a usina nuclear de Osirak em 1981. Irã está tentando se tornar um país com capacidade nuclear, aparentemente chegou perto, mas como ainda não tem sofre ataques como o recente bombardeio deste ano. Dentre os três países originalmente batizados como membros do eixo do mal apenas a Coreia do Sul, que já tem capacidade nuclear, não foi atacada. Atualmente o Iraque é um país politicamente organizado como república parlamentarista e não é considerado como membro do eixo do mal. O Irã continua sendo considerado como sendo um dos países membros do eixo do mal e com intenções de atingir capacidade nuclear.

Além das ações de natureza armamentista como o recente bombardeio das instalações nucleares Iranianas existe outro campo de natureza economica e comercial, são ações tomadas pelos países, principalmente os EUA, que é a aplicação de medidas punitivas chamadas de sanções. O Irã era o país mais sancionado do mundo, posto que perdeu para a Rússia após a invasão da Ucrania, a partir de 2022.

Olhando para a frente é possível imaginar que nesta altura do campeonato, embora não tenha sido abordado no paper, as diversas equipes que fazem parte da estrutura cibernética a serviço do governo Norte Coreano devem estar debruçadas aprendendo e entendendo o funcionamento e possível uso da IA para cumprir seus objetivos.

O apoio da China e da Rússia pode ajudar, como aparentemente já está ajudando. A alocação de membros da estrutura cibernética Norte Coreana em território Chinês e Russo, com possível ciência e vista grossa dos respectivos governos, dificulta a ação dos investigadores. Estima-se também que pode haver equipes de agentes Norte Coreanos espalhados por outros países da região, neste caso, atuando de forma clandestina, agindo como funcionário de empresas supostamente ligadas ao governo Norte Coreano. Outro formato adotado mais recentemente consiste em colocar agentes para trabalhar em empresas de TI que recrutam trabalhadores remotos. Para não despertar suspeitas esses agentes aparentemente se mudam para países vizinhos. Também é de se imaginar que erros básicos como usar endereços de IP já usados anteriormente, que remetem ao território Norte Coreano ou repetir scripts manjados não deve se repetir.

Links:

Apêndice – Filmes e Seriados: Ficção ou Realidade?

Não temos intenção de listar todos os filmes e seriados já lançados sobre o tema. Vamos trazer apenas alguns que julgamos interessantes, com destaque especial para dois deles, os melhores em nossa opinião: filme Matrix de 1999 e o seriado Mr. Robot de 2015 a 2019.

1983 – Filme - WarGames / Jogos de Guerra

O filme Jogos de Guerra foi lançado em 1983. Com direção de John Badham tem como protagonista o personagem David Lightman interpretado pelo ator Matthew Broderick, um jovem americano estudante do ensino médio. Acidentalmente David conecta seu PC com os computadores do sistema de Defesa do governo americano, controlado por um sistema que era controlado por inteligência artificial. Esse estereótipo do jovem que fica trancado no quarto da sua casa grudado no PC fazendo suas estripulias, nem sempre criminosas, perdurou por algum tempo como padrão de hacker.

1995 – Filme – The Net / A Rede

Sandra Bullock interpreta o papel da personagem Angela Bennet, uma programadora de computadores que já naquela época trabalhava em home office. Na época em que o filme foi lançado o delivery era acionado via telefone e a principal função dos correios ainda era o de transportar cartas. A personagem Angela passa por várias situações constrangedoras quando tem todos os dados pessoais reais alterados de pessoa comum para uma criminosa. O filme faz uma espécie de premonição a respeito de várias questões que se concretizariam com força nos anos seguintes, por exemplo, o de uma pessoa que se torna vítima de hacker e perde praticamente tudo que se relaciona com o seu dia a dia, desde a identidade até o acesso ao dinheiro no banco.

1999 – Filme - Matrix

O primeiro filme da franquia e o melhor de todos em nossa opinião traz como personagem central o hacker Thomas A. Anderson, codinome NEO (anagrama de ONE) interpretado por Keanu Reeves. Outras presenças ilustres no elenco: Laurence Fishburne, Carrie-Anne Moss, Hugo Weaving e Joe Pantoliano. Abocanhou quatro Óscars na edição 72 e vários outros prêmios. Outros personagens marcantes do filme são: Morpheus (Laurence Fishburne), Trinity (Carrie-Anne Moss), Cypher (Joe Pantoliano) e Agente Smith (Hugo Weaving). Curiosamente vários atores conhecidos recusaram o papel de NEO: Will Smith, Nicolas Cage, Brad Pitt, Val Kilmer, Leonardo DiCaprio e Johnny Deep. NEO quase foi um personagem feminino e neste caso o roteiro seria adaptado para que Sandra Bullock interpretasse o papel do hacker NEO. Bullock também foi considerada para o papel de Trinity, par romântico de NEO. A franquia teve mais 3 sequências: The Matrix Reloaded e The Matrix Revolution ambos lançados em 2003 e The Matrix Resurrections lançado em 2021. Em 2003 foi lançado uma minissérie animada que conjugou computação gráfica com anime chamada de Animatrix composto por nove pequenas histórias que antecederam o universo Matrix retratado a partir do primeiro filme de 1999.

2001 – Filme - Swordfish / A Senha: Swordfish

Com um elenco de peso que conta com John Travolta, Hugh Jackman, Halle Berry e Don Cheadle o filme conta a história de um hacker recém-saído da prisão tentando levar uma vida “normal” num canto qualquer dos EUA. Travolta interpreta o personagem Gabriel Shear, um espião tentando pôr as mãos numa fortuna esquecida e escondida atrás de muita proteção cibernética estimada em 9,5 bilhão de dólares. O personagem hacker chamado de Stanley Jobson é interpretado por Hugh Jackman. Halle Berry é Ginger, ex-mulher de Stanley e mãe de Camryn Grimes, filha de Stanley. Típico filme americano que mistura muita digitação em ritmo alucinante e explosões.

2011-2016 – Seriado – Person of Interest / Pessoa de Interesse

O seriado é estrelado em parceria por Jim Caviezel e Michael Emerson, respectivamente nos papéis de John Reese, ex-agente da CIA (Central Intelligence Agency) e Harold Finch (desenvolvedor que trabalhou para o governo Americano, bilionário e supostamente falecido assim como o personagem de Caviezel). Harold desenvolveu um programa “fodástico” para o governo Americano que previa e avisava antecipadamente futuros atos de terrorismo e crimes violentos cometidos por pessoas comuns. Como o governo Americano não tomava nenhuma atitude quanto aos crimes violentos Harold acessava o sistema que ele tinha criado para o governo através de uma porta (backdoor) onde pegava apenas o número do seguro social da pessoa envolvida no crime violento, tendo como detalhe que não sabia se o número do seguro social era do criminoso ou da vítima. Para ajudá-lo principalmente em campo, Harold recrutou John Reese. A inspiração talvez tenha vindo do filme Minority Report – A Nova Lei lançado em 2002.

2015-2019 – Seriado – Mr. Robot / Mr. Robot – Sociedade Hacker

Um dos seriados recentes e mais interessantes sobre hacker elevou o status do ator principal da série, Rami Malek interpretando o papel de Elliot Alderson. O personagem de Rami é um engenheiro de cibersegurança da empresa Allsafe e hacker “nas horas vagas”. O Mr. Robot que dá nome a série não é o personagem interpretado por Rami, é outro personagem que recruta Elliot que acaba se juntando a um grupo de hacktivistas chamado de fsociety.

2016-2016 – Seriado – CSI: Cyber

A versão Cyber da franquia CSI (Crime Scene Investigation) estreou em 2015. A protagonista do seriado é Avery Ryan interpretada por Patricia Arquette, vice-diretora que comanda a Divisão de Crimes Cibernéticos do FBI (Federal Bureau of Investigation) tendo como base operacional Washington DC. A personagem principal é inspirada na Cyber Psicóloga Irlandesa Mary Aiken. Como ocorre em vários outros filmes e seriados a divisão recruta hackers pegos com a mão na massa, ou nos teclados e faz com que passem a trabalhar ajudando na captura dos outros hackers.