Do nerd solitário aos ataques cibernéticos em escala industrial

Obs.: Ressaltamos que todo material utilizado nesta postagem é de natureza pública, sendo acessível a todos que tem acesso à internet (os links serão publicados no final da postagem). O paper que serviu de base foi publicado a mais de 5 anos (2019). Os dados específicos sobre ataques incluindo tipo, órgão/empresa atacada, métodos e valores também são públicos. Esta publicação não tem como objetivo atacar, acusar ou manchar de forma negativa a imagem do Governo da Coreia do Norte tendo em vista que o que está sendo publicado nesta postagem já é do conhecimento público. Eventual contestação poderá ser feita após a publicação periódica de cada capítulo ou após a conclusão e havendo pedido expresso para exclusão de qualquer interessado avaliaremos a pertinência do pedido com brevidade e nos manifestaremos em seguida excluindo ou justificando a recusa.

As postagens serão feitas de forma periódica conforme índice abaixo:

Índice

1 – Introdução

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

3 - Dois ataques cibernéticos contra o mesmo alvo

4 – Estrutura e órgãos cibernéticos da Coreia do Norte

5 - Os Objetivos das Operações Cibernéticas

• Espionagem para Coleta de Informações
• Operações de Ciberterrorismo
• Operações de Guerra Financeira

6 – Conclusão

Apêndice

Filmes e Seriados: Ficção ou Realidade?

d/^.^\b

1 - Introdução

Print parcial da pág. 06 do relatório “Immunefi_Crypto_losses_In_Q1_2025” disponível no site: https://downloads.ctfassets.net/t3wqy70tc3bv/kicQd50NcNkEQyA1QmpOB/b365451e130c1b1c0cbe55c191a22d41/Immunefi_Crypto_Losses_In_Q1_2025.pdf

No print da página 06 do relatório publicado pela Immunefi relatando ataques apurados no primeiro trimestre de 2025 aparece o título “Hackers Norte Coreanos”. Neste tópico os dois grandes ataques registrados no 1º trimestre de 2025 são creditados a hackers Norte Coreanos. Do total de USD 1.623 bilhão a soma de 2 ataques totaliza USD 1.529 bilhão representando quase 95% em termos de valor.

Partindo deste relatório resolvemos olhar com um pouco mais de atenção esse cenário de ataques cibernéticos.

Começando pela definição mais comum a palavra ciberataque é usada quando um ou mais indivíduos atacam computadores com objetivos maliciosos visando roubar dados, impedir o funcionamento, causar danos, expor dados ou fragilidades etc. O acesso é feito ilegalmente e pode afetar desde um computador isolado até uma rede inteira. Existem intenções diferentes indo da motivação financeira, vingança, espionagem industrial até na guerra cibernética, aquela onde as armas utilizadas são: computadores, internet e os programas.

O estereótipo comum de nerd no universo da computação que geralmente é retratado em livros, artigos, seriados e filmes mostra um jovem enfurnado num quarto bagunçado. Ele é viciado em games, geralmente tem problemas de relacionamento e algum conhecimento de programação, ou onde estão os programinhas que precisa usar para praticar seus ataques. Lembrando que retratamos o estereótipo da ficção, não trouxemos uma definição técnica de nerd.

Para quem quer um conceito mais estruturado deixamos aqui uma transcrição do que diz a Wikipédia que retrata nerd como um conceito sociológico geralmente atrelado à adolescência e juventude que nasceu culturalmente dentro do sistema escolar Americano: “Em termos gerais, o nerd é uma pessoa vista como excessivamente estudiosa, obsessiva por assuntos que a maioria das pessoas não se interessa, e com falta de habilidades sociais fora do meio nerd. Tal pessoa pode gastar quantidades excessivas de tempo em atividades impopulares, pouco conhecidas ou não, que geralmente são altamente técnicas, complexas, abstratas ou relacionadas a livros filmes e séries de ficção ou fantasia, com exclusão de atividades mais comuns. Além disso, muitos chamados nerds são descritos como sendo tímidos e excêntricos, bem como ter muitas dificuldades em praticar, ou mesmo acompanhar esportes ”.

A escala industrial entra por nossa conta e tem como objetivo relacionar ataques realizados em larga escala, com uso de métodos automatizados desenvolvidos por equipes focadas nessa tarefa. Os ataques são executados de forma coordenada, com objetivos específicos.

Num certo sentido o nerd solitário era uma espécie de artesão, criando ou obtendo os programas necessários para executar seus ataques em pequena escala. O ataque em escala industrial é uma espécie de evolução do processo artesanal. A “industrialização” envolve a escolha e treinamento dos “membros” incluindo apoio financeiro para custear o aperfeiçoar o conhecimento dos escolhidos. Esses membros treinados atuam praticamente como soldados numa guerra virtual agindo contra objetivos selecionados por mandatários de escalões superiores e a partir de instalações e equipamentos do mandatário.

Esta postagem tem como base o paper “The All-Purpose Sword: North Korea’s Cyber Operations and Strategies” (em tradução livre: A Espada Multiuso: Operações e Estratégias Cibernéticas da Coreia do Norte), publicado em 2019 que foi escrito por três Sul Coreanos, um tenente da força aérea (Ji Young, Kong) e dois professores universitários (Jong In, Lim e Kyoung Gon, Kim). Contando a introdução e a conclusão o paper tem 5 capítulos. Os capítulos centrais são os capítulos 2. ORGANIZATIONS OF CYBER OPERATIONS IN NORTH KOREA; 3. CYBER OPERATIONS ATTRIBUTED TO NORTH KOREA; e 4. STRATEGIES (em tradução livre: 2. Estrutura Organizacional das Operações Cibernéticas Norte Coreanas; 3. Operações Cibernéticas Atribuídas aos Norte Coreanos; e 4. Estratégias).

Ao longo do texto acrescentaremos outros aspectos que julgarmos pertinente incluindo alguns eventuais acontecimentos posteriores a 2019, ano em que o paper foi publicado. Os links para o texto original do paper (em inglês) e para as demais fontes consultadas estarão no final da postagem.

Sempre que a palavra hacker aparecer nesta postagem será no sentido negativo. Sabemos que existem hackers do bem e a turma do mal, mas nesta postagem vamos generalizar e fazer de conta que hackers sempre são mal-intencionados. O relatório da Immunefi chama os ciberatacantes Norte Coreanos de hackers, generalizando todos como participantes da turma do mal.

Link para o paper (em inglês):

Link para o relatório Immunefi citado acima:

Continua …

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

De acordo com os autores do paper o interesse dos Norte-coreanos pelas questões cibernéticas nasceu durante o governo de Kim Jong-Il (1994/2011), pai do atual governante Kim Jong-Un (2011 / atual). (Nos países asiáticos tais como China, Coréia e Japão os nomes são escritos começando pelo sobrenome, ao contrário do que é adotado, por exemplo, aqui no Brasil). Durante o governo de Kim Jong-Il o mundo viu três guerras que chamaram sua atenção: Guerra do Golfo em 1991; Guerra do Kosovo em 1999 e Guerra do Iraque em 2003. Estas guerras mostraram para Kim Jong-Il a importância de ter capacidade cibernética. É dele a seguinte frase num guia sobre guerra eletrônica publicado em 2005: “If the Internet is like a gun, cyber-attacks are like atomic bombs”, em tradução livre: “Se a Internet é como uma arma, ataques cibernéticos são como bombas atômicas”. As unidades cibernéticas do governo Norte-coreano nasceram com objetivo de ser um poder, tanto sob o aspecto ofensivo como defensivo. Em tempos de paz atua colhendo informações e em tempos de guerra servirá para atacar estruturas cibernéticas do inimigo, tanto civis como militares.

O atual governante da Coreia do Norte, Kim Jong-Un, por acaso, é formado em ciência da computação, provavelmente por influência do pai. Após assumir o governo sucedendo seu pai ele disse que o uso da tecnologia da informação e o apoio da agência de inteligência da Coreia do Norte, conhecido pela sigla RGB – Reconnaissance General Bureau (Gabinete Geral de Reconhecimento) seria possível superar as sanções impostas aos Norte-coreanos e indo além, construir uma nação forte e próspera. A propósito existem várias unidades do governo Norte-coreano atuando na esfera cibernética, divididos basicamente em duas vertentes, um vinculado ao lado “civil” como é o caso do RGB e outro subordinado ao lado “militar” vinculado a órgãos da estrutura militar da Coréia do Sul. Para Kim Jon-Un os membros do RGB são “guerreiros cibernéticos”.

Um desertor de alta patente relatou que todo ano cerca de 50 a 60 jovens escolhidos entre soldados de elite com habilidades em computação são enviados para estudar computação no exterior. Estima-se que à Coreia do Norte possui em torno de 7.000 especialistas atuando em diversas unidades do governo Norte-coreano especialmente voltados para a guerra cibernética.

A escolha das ações de natureza cibernética em escala industrial tem vantagens tais como: I) As unidades podem operar em tempos de paz ou de guerra, ofensiva ou defensivamente, dependendo do interesse e/ou do momento; II) Os custos operacionais são menores se comparados com outras ações, como é o caso de uma guerra armada. III) As ações cibernéticas podem ser atribuídas a terroristas, hackers etc. sem vinculação direta com governo Norte-coreano, que sempre negará seu envolvimento; e IV) uma guerra convencional pode deixar pistas como armamentos utilizados e eventuais soldados capturados.

Outro aspecto materializado no estudo dos especialistas Sul-coreanos é o conceito de “guerra estendida”. Isoladamente a Coréia do Norte não teria condições de atuar no terreno cibernético com a mesma desenvoltura com que atua. O que se estende na realidade é a capacidade de atuação, supostamente apoiado por países vizinhos como a China e a Rússia. Segundo mapas publicados no paper existem cabos de fibra óptica cruzando a fronteira da Coréia do Norte com a China e a Rússia. O paper ainda reporta que diversas operações cibernéticas agressivas partem de dentro do território Chinês. Outro país que aparentemente mantém cooperação estreita com a Coréia do Norte desde 2012 é o Irã. Analistas de segurança identificaram semelhanças entre as técnicas de ataque e arquivos maliciosos utilizados na operação Blockbuster (ataque contra a Sony Pictures em 2013) e um ataque que tinha sido desferido em 2012 contra a petrolífera Saudi Aramco (empresa da Arábia Saudita que é um país rival do Irã).

Outros países onde agentes Norte-coreanos supostamente teriam ou estariam atuando são: Índia, Malásia, Nova Zelândia, Nepal, Quênia, Moçambique e Indonésia. Neste caso não significa que estes países colaboram com a Coréia do Norte, tais agentes possivelmente atuam infiltrados, sem conhecimento dos respetivos governos locais.

Curiosidade

No início do ano de 2018 a agência de notícias britânica Reuters divulgou um fato no mínimo inusitado. O título dizia o seguinte: North Korean leaders used Brazilian passports to apply for Western visas: sources, em tradução livre: “Fontes disseram que líderes Norte-coreanos usaram passaportes brasileiros para solicitar visto de entrada em países ocidentais”.

Print parcial retirado em 21 05 25 de: Exclusive - North Korean leaders used Brazilian passports to apply for Western visas: sources | Reuters

Os passaportes teriam sido usados para visitar países ocidentais na década de 90. Os passaportes foram emitidos com os nomes de Josef Pwag (Kim Jon-Un) e Ijong Tchoi (Kim Jon-Il) em substituição a passaportes vencidos que supostamente teriam sido emitidos no Brasil. O jornal Japonês Yomiuri Shimbun publicou uma notícia em 2011 dizendo que Kim Jong-Un teria visitado o Japão usando um passaporte brasileiro no ano de 1991. O Ministério das Relações Exteriores do Brasil reconheceu a autenticidade dos passaportes que teriam sido emitidos pela Embaixada do Brasil em Praga no dia 26/02/1996 com validade de 10 anos.

As fontes citadas pela Reuters disseram que as fotos dos passaportes em questão seriam verdadeiras e teriam sido comprovadas via uso de tecnologia de reconhecimento facial. Quem tiver curiosidade pode olhar a notícia completa nos links ou pesquisar pelos nomes falsos no Google para olhar as imagens dos dois passaportes brasileiros emitidos para os governantes Norte-coreanos.

Links:

https://www.reuters.com/article/world/exclusive-north-korean-leaders-used-brazilian-passports-to-apply-for-western-v-idUSKCN1GB2AZ/

Paper em inglês:

Continua …

3 - Dois ataques cibernéticos contra o mesmo alvo

O paper que serve de base para esta postagem tem como foco os ataques cibernéticos supostamente praticados por agentes a serviço do governo da Coréia do Norte. Abrimos espaço para citar duas ações que não tem como origem o governo Norte-coreano, trata de ataques sofridos pelo governo do Irã.

O primeiro ataque ocorreu em 2010, cerca de um ano antes da transição de governo na Coreia do Norte e o segundo ocorreu cerca de 11 anos depois, em 2021. Não há provas concretas da origem do ataque, mas o alvo nos dois casos foi o programa nuclear do Irã. Os detalhes teóricos do primeiro ataque são mais conhecidos e causou um grande estrago. O vetor de ataque foi um worm chamado stuxnet que apareceu em 2009 infectando máquinas na Indonésia, Estados Unidos, Austrália, Inglaterra, Malásia e Paquistão. Entre outras teorias atribui-se a criação do vírus específico que atacou instalações nucleares iranianas a dois países: EUA e Israel e ainda pairam dúvidas quanto a participação de alemães e britânicos. O grau de sofisticação e a reprodução de telas simulando dados falsos pode indicar que o stuxnet não poderia ter sido criado por hackers “domésticos”. O vírus teria sido testado antes numa usina nuclear de Israel (complexo de Dimona) que por acaso operava centrífugas idênticas às da usina Iraniana. Entre outros relatos cinematográficos o vírus teria entrado nos sistemas da Siemens que controlavam a usina nuclear Iraniana de Natanz através de uma simples conexão USB. Uma vez inserido no sistema o vírus adaptado pelos atacantes teria simulado telas de controle falsos enquanto acelerava a rotação das centrífugas fazendo os rotores quebrarem.

O stuxnet é considerado o primeiro worm de computador que tinha embutido um rootkit de PLC (Programmable Logic Controller) ou CLP (controlador lógico programável), específico para controlar equipamentos e processos industriais e neste caso, aparentemente permitiu acesso remoto aos invasores. Todavia existem dúvidas se a rede da usina atacada estaria ligada à internet ou não. Outro aspecto específico deste worm é que ele foi criado especificamente para atacar um sistema operacional nativo da Siemens chamado SCADA – (Supervisory Control and Data Aquisition) ou Sistema de Supervisão e Aquisição de Dados) que foi desenvolvido unicamente para controlar as centrífugas de enriquecimento de urânio.

Print parcial retirado em 05/05/2025 de: Vírus Stuxnet, que atacou usinas nucleares no Irã, foi criado em parceria por EUA e Israel - Jornal O Globo

Onze anos depois, em 2021, o programa nuclear Iraniano aparentemente sofreu outro ataque cibernético. O governo Iraniano atribuiu ao governo Israelense um ataque cibernético que chamou de “terrorismo nuclear”. O ataque cibernético supostamente teria sido feito pelo Mossad (Serviço de Inteligência de Israel). O ataque não deixou vítimas e não gerou contaminação, mas causou danos extensos maiores do que foram admitidos pelo governo Iraniano atrasando o programa nuclear daquele país.

Print parcial retirado em 05/05/2025 de: Irã diz que pane elétrica em usina atômica foi ato de ‘terrorismo nuclear’; Israel não nega autoria de ciberataque - Jornal O Globo

Links:

4 – Estrutura e órgãos cibernéticos da Coreia do Norte

Os departamentos que exercem atividades cibernéticas fazem parte de uma estrutura principal denominada State Affairs Commission of Democratic People’s of Korea, criada em 2016 para substituir a National Defence Commission. Em tradução livre o nome do órgão é algo como Comissão de Assuntos de Estado da República Popular Democrática da Coréia que substituiu a Comissão de Defesa Nacional. A principal diferença entre o órgão anterior que era comandado pelos militares é que a Comissão de Assuntos de Estado é a autoridade suprema da Coréia do Norte e sua chefia cabe ao chefe de Estado, também conhecido como “líder supremo” que atualmente é Kim Jong-Un. Toda a estrutura militar da Coréia do Norte também está inserida nesta estrutura.

De acordo com a figura abaixo extraída do paper nota-se que as três forças militares possuem unidades cibernéticas destacando-se a marinha que tem um órgão chamado Command Automation Bureau com três subunidades cibernéticas, os escritórios 31, 32 e 56.

Print parcial retirado da pág 04 do paper: https://www.ccdcoe.org/uploads/2019/06/Art_08_The-All-Purpose-Sword.pdf

Sem dúvida o principal órgão voltado para atividades cibernéticas do governo Norte Coreano é a agência de inteligência conhecida como RGB, já citado anteriormente. Este órgão é diretamente subordinado ao comando central, ou seja, se reporta diretamente a Kim Jong-Un como fica claro na figura que mostra o RGB como um braço apartado dentro da estrutura principal.

Para citar rapidamente, no outro braço da estrutura militar propriamente dita os principais departamentos são: Military Security Bureau ou Military Security Command, Guard Command ou General Guard Bureau e General Staff Department. O Departamento de Segurança Militar é a área de contra inteligência. O Comando da Guarda também conhecido como Gabinete da Guarda é responsável pela segurança do líder Norte Coreano, dos seus familiares e dos altos funcionários do governo, é equivalente ao serviço secreto dos EUA. Por último temos o Departamento de Estado-Maior do Exército Popular Coreano cujo chefe é responsável pelas questões administrativas, operacionais e logísticas.

Apesar de não estarem ligados diretamente a Kim Jong-Un como ocorre com o RGB, as forças armadas têm seu braço cibernético. O foco principal desse braço cibernético é o de combinar tecnologia cibernética com as armas e outras ferramentas de combate. Entre outras atividades cuidam de toda cadeia de softwares utilizados pelas forças armadas. O Command Automation Bureau controla as Unit’s 31,32 e 56 que são responsáveis respectivamente pelo desenvolvimento de malwares, software militar e software de comando e controle. Tratando-se de órgãos subordinados ao aparato militar ostensivo da Coreia do Norte tudo que é feito neste lado da estrutura parte de um contexto, o de que suas ações servirão como ferramenta numa guerra aberta.

Em termos gerais o RGB tem sete departamentos. O primeiro responde por treinamento e assistência técnica. O segundo cuida da inteligência militar. O terceiro é responsável por hackear computadores e sinais de inteligência (seja lá o que isso signifique). O quinto também conhecido como Bureau 35 conduz operações clandestinas no exterior e seria supostamente o órgão responsável pelo assassinato de Kim Jong-Nam, filho mais velho de Kim-Jong-Il que seria provável sucessor e meio irmão de Kim Jong-Un. O sexto estabelece diretrizes políticas e faz contatos militares. O sétimo é responsável por assuntos de logística. Faltou ou pulamos o quarto departamento. Na lista dos sete departamentos consta um departamento que não tem número, como os outros, constando apenas como Bureau, que tem como missão ser a principal unidade de guerra cibernética do RGB. O quarto departamento fica no mistério.

O RGB tem um braço que é conhecido como Bureau 121, a quem se atribui alguns grandes ataques cibernéticos realizados nos tempos recentes. Entre outras responsabilidades o Bureau 121 supostamente atua nas tentativas de infiltração em redes de computadores dos “inimigos”, monitoramento de desertores, coleta de dados e informações, implantação de vírus, pesquisa e desenvolvimento de malwares, pesquisa de vulnerabilidades etc.

A estrutura do Bureau 121 conta com cinco “departamentos”: I) Lab 110 que por sua vez tem três escritórios (Office 98, Office 414 e Office 35); II) Unit 180; III) Unit 91; IV) 128 Liaison Office; e V) 413 Liaison Office. Bureau a princípio pode ser traduzido como escritório, mas no caso do organograma desenhado no paper cabe entender o Bureau 121 como um departamento subdividido em áreas específicas. Provavelmente Lab deve ser abreviação de laboratório. Office conhecemos como escritório. Unit supomos que se trata de unidade. Liaison se traduz como ligação, portanto temos dois escritórios de ligação.

Cada laboratório, escritório ou departamento tem um número. Curiosamente os escritórios de ligação tem número antes do nome, possivelmente tem algum significado, enquanto os demais seguem o padrão com número após o nome.

Subordinado ao Bureau 121 existe a Unit 180 que supostamente atua nas operações de furto cibernético atacando pessoas e empresas localizadas no exterior. Supõe-se que parte dos membros desta unidade não operam a partir da Coreia do Norte. Talvez estejam alocados perto da fronteira ou é mais provável que estejam instalados dentro da China ou da Rússia, como empregados de empresas de fachada.

Outra unidade subordinada ao Bureau 121 é a Unit 91 que supostamente tem como objetivo furtar tecnologia militar.

Os Liaison Office 128 e 414 como o próprio nome indica atuam dando suporte para os agentes no exterior. Cuidam dos contatos, passam instruções, recebem dados, relatórios etc. Além disso acredita-se que estes escritórios também tenham outras atribuições. O escritório de ligação 128 supostamente tem equipes que estudam estratégias de ataque cibernético e o escritório 414 seria encarregado do treinamento destas equipes.

Algumas unidades subordinadas ao Bureau 121 tem uma atuação essencialmente operacional dando apoio aos agentes infiltrados em outros países. Os agentes destas unidades cuidam das comunicações entre os agentes no exterior e seus contatos na Coreia do Norte podendo atuar também na escolta pessoal desses agentes infiltrados.

A partir de uma visão estrutural dos órgãos e os respectivos objetivos de cada unidade é possível notar que existe uma especialização exemplar. Em outros termos, trata-se de uma verdadeira estrutura que opera numa escala industrial, muito longe da ideia do nerd solitário hackeando o Pentágono que filmes e seriados costumam criar. Temos um braço cibernético voltado exclusivamente para pensar e atuar se e quando o país estiver em guerra. E existe um braço criado exclusivamente para operar clandestinamente, nas sombras, estruturado dentro da área de inteligência e subordinado diretamente ao comandante geral, o próprio Kim Jong-Un. Cada unidade se dedica a um tipo de atividade no campo cibernético evitando sobreposição de atividades, fato que contribui no aperfeiçoamento dos seus membros.

Voltando a questão da evolução que partiu de um cenário meio artesanal para o atual estágio praticamente industrial podemos dizer que existe uma linha de produção operacional cibernética. Se procurar bem pode ser que cada unidade tenha metas para atingir. O que parece certo de uma forma geral é que os melhores ganham recompensas ou promoções na hierarquia. Isso representa, por exemplo, receber benefícios como acesso a moradia em bairros específicos e a lojas e mercados que não estão à disposição da maioria da população. Seleção dos melhores, apoio para estudos, segmentação por atividades ou objetivos, metas, recompensas etc. lembram um modo de vida empresarial e capitalista que aparentemente não é praticado na economia da República Popular Democrática da Coreia (RPDC).

Links:

Continua…

5 - Os Objetivos das Operações Cibernéticas

Neste tópico entramos no terreno das TTPs (Tactis, Tecnhniques, and Procedures), em tradução livre: Táticas, Técnicas e Procedimentos. É um tripé que a inteligência militar estuda com afinco.

No quesito tático os especialistas avaliam os porquês do ataque, quais são (ou foram) as metas ou objetivos do atacante. Também pode ser visto como objetivo imediato. Obter acesso ou se infiltrar numa rede sem ser detectado é um exemplo de ataque tático.

No aspecto técnico de uma análise entra o como, ou seja, qual é o método usado pelo atacante para buscar seu objetivo. Lembrando que no quesito anterior ficou definido o motivo do ataque (porquê) agora cabe definir como isso será executado. Enviar e-mails com link malicioso para funcionários que tem acesso aos computadores do alvo é um exemplo típico desse método.

Num nível especificamente técnico temos o procedimento que se refere as ações específicas que foram adotadas na ponta, também conhecido como o quê será feito após a obtenção do acesso não autorizado. Essa ponta do tripé também pode ser citado como o momento da definição do passo a passo. Exemplos: criar malwares e scripts personalizados para realizar determinadas ações no alvo atacado, definir o momento em que o ataque terá início, escolher o(s) alvo(s) específico(s), por exemplo, se o interesse é atacar a infraestrutura (aeroportos, rede de transmissão de energia, bases militares etc.) é aqui que se define(m) o(s) alvo(s). Por consequência a escolha do(s) alvo(s) também define detalhes específicos como uso de um malware ou de outro incluindo a adaptação para cada alvo específico em função de eventuais características específicas dos sistemas a serem atacados.

A sequência das siglas indica o processo começando pela definição do alvo ou da motivação, na escolha da forma de ataque e culmina com os resultados a serem alcançados.

No caso da estrutura de guerra cibernética criado pelo governo Norte-coreano as diversas unidades espalhadas na estrutura do State Affairs Commission (Comissão de Assuntos de Estado) têm objetivos específicos.

De acordo com o paper existem três objetivos claros com base em algumas operações supostamente atribuídas à Coreia do Norte: a) Espionagem para obter informações (dados, tecnologia, estratégias militares etc.); b) Terrorismo Cibernético; e c) Guerra Financeira.

O paper também relata que a comunidade de analistas de segurança, com base nos malwares e nas táticas utilizadas, conseguiu identificar diversos grupos que supostamente podem estar atuando sob patrocínio do Governo Norte Coreano para cumprir os objetivos mencionados no parágrafo anterior. Alguns grupos conhecidos que supostamente estão agindo para o governo da Coréia do Norte e que frequentemente são relacionados a ataques cibernéticos que causaram um estrago considerável nos alvos atacados são: Lazarus, Bluenoroff, Hidden Cobra, Andariel, Bureau 121, SAPT37, ScarCruft, Reaper, Group123, Beagleboyz e DarkHotel.

a) Espionagem para Coleta de Informações

O paper traz dados, por exemplo, de ataques batizados de operação Kimsuky que foram realizados a partir de 2012 ou 2013 e algumas variantes desse ataque se estenderam até 2018. A principal forma de ataque utilizada foi o conhecido método de envio de e-mails do tipo phishing, por exemplo, enviados de contas de e-mails supostamente vindos da Bélgica para funcionários de empresas de energia, universidades e órgãos públicos da Coreia do Sul, com foco nos que atuavam no ramo da energia nuclear. O phishing é uma técnica de engenharia social usada com intuito de enganar o alvo para coletar e usar informações confidenciais.

Timeline das operações de espionagem supostamente praticadas pela Coréia do Norte entre 2011 a 2018.

Print extraído da página 8 do paper The All-Purpose Sword: North Korea’s Cyber Operations and Strategies (link no final da postagem).

Outra operação foi batizada com a sigla KHNP (Korea Hydro and Nuclear Power). Esta ação coletou e divulgou informações técnicas e dados de funcionários da KHNP, uma subsidiária da KEPCO (Korea Electric Power Corporation) que opera mais de 50 usinas hidroelétricas e nucleares fornecendo cerca de um terço da energia elétrica da Coreia do Sul.

Um exemplo que aparentemente dá embasamento para os analistas concluírem que se trata de uma ação orquestrada a partir de um comando central é o uso dos mesmos metadados, nomes semelhantes de servidor, mesmo parâmetro HTTP para se comunicar com o servidor e nomes de host do servidor semelhantes em operações iniciadas a partir do envio de malwares que foram realizadas em 2015 e depois em 2018.

Print extraído da pág 9 do paper The All-Purpose Sword: North Korea’s Cyber Operations and Strategies (link no final da postagem).

Link para o paper:

Continua …