Do nerd solitário aos ataques cibernéticos em escala industrial

1

Obs.: Ressaltamos que todo material utilizado nesta postagem é de natureza pública, sendo acessível a todos que tem acesso à internet (os links serão publicados no final da postagem). O paper que serviu de base foi publicado a mais de 5 anos (2019). Os dados específicos sobre ataques incluindo tipo, órgão/empresa atacada, métodos e valores também são públicos. Esta publicação não tem como objetivo atacar, acusar ou manchar de forma negativa a imagem do Governo da Coreia do Norte tendo em vista que o que está sendo publicado nesta postagem já é do conhecimento público. Eventual contestação poderá ser feita após a publicação periódica de cada capítulo ou após a conclusão e havendo pedido expresso para exclusão de qualquer interessado avaliaremos a pertinência do pedido com brevidade e nos manifestaremos em seguida excluindo ou justificando a recusa.

As postagens serão feitas de forma periódica conforme índice abaixo:

Índice

1 – Introdução

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

3 - Dois ataques cibernéticos contra o mesmo alvo

4 – Estrutura e órgãos cibernéticos da Coreia do Norte

5 - Os Objetivos das Operações Cibernéticas

  • Espionagem para Coleta de Informações
  • Operações de Ciberterrorismo
  • Operações de Guerra Financeira

6 – Conclusão

Apêndice

Filmes e Seriados: Ficção ou Realidade?

d/^.^\b

1 - Introdução

Img 00 Pag 6 rel immunefi
Img 00 Pag 6 rel immunefi1140×599 128 KB

Print parcial da pág. 06 do relatório “Immunefi_Crypto_losses_In_Q1_2025” disponível no site: https://downloads.ctfassets.net/t3wqy70tc3bv/kicQd50NcNkEQyA1QmpOB/b365451e130c1b1c0cbe55c191a22d41/Immunefi_Crypto_Losses_In_Q1_2025.pdf

No print da página 06 do relatório publicado pela Immunefi relatando ataques apurados no primeiro trimestre de 2025 aparece o título “Hackers Norte Coreanos”. Neste tópico os dois grandes ataques registrados no 1º trimestre de 2025 são creditados a hackers Norte Coreanos. Do total de USD 1.623 bilhão a soma de 2 ataques totaliza USD 1.529 bilhão representando quase 95% em termos de valor.

Partindo deste relatório resolvemos olhar com um pouco mais de atenção esse cenário de ataques cibernéticos.

Começando pela definição mais comum a palavra ciberataque é usada quando um ou mais indivíduos atacam computadores com objetivos maliciosos visando roubar dados, impedir o funcionamento, causar danos, expor dados ou fragilidades etc. O acesso é feito ilegalmente e pode afetar desde um computador isolado até uma rede inteira. Existem intenções diferentes indo da motivação financeira, vingança, espionagem industrial até na guerra cibernética, aquela onde as armas utilizadas são: computadores, internet e os programas.

O estereótipo comum de nerd no universo da computação que geralmente é retratado em livros, artigos, seriados e filmes mostra um jovem enfurnado num quarto bagunçado. Ele é viciado em games, geralmente tem problemas de relacionamento e algum conhecimento de programação, ou onde estão os programinhas que precisa usar para praticar seus ataques. Lembrando que retratamos o estereótipo da ficção, não trouxemos uma definição técnica de nerd.

Para quem quer um conceito mais estruturado deixamos aqui uma transcrição do que diz a Wikipédia que retrata nerd como um conceito sociológico geralmente atrelado à adolescência e juventude que nasceu culturalmente dentro do sistema escolar Americano: “Em termos gerais, o nerd é uma pessoa vista como excessivamente estudiosa, obsessiva por assuntos que a maioria das pessoas não se interessa, e com falta de habilidades sociais fora do meio nerd. Tal pessoa pode gastar quantidades excessivas de tempo em atividades impopulares, pouco conhecidas ou não, que geralmente são altamente técnicas, complexas, abstratas ou relacionadas a livros filmes e séries de ficção ou fantasia, com exclusão de atividades mais comuns. Além disso, muitos chamados nerds são descritos como sendo tímidos e excêntricos, bem como ter muitas dificuldades em praticar, ou mesmo acompanhar esportes ”.

A escala industrial entra por nossa conta e tem como objetivo relacionar ataques realizados em larga escala, com uso de métodos automatizados desenvolvidos por equipes focadas nessa tarefa. Os ataques são executados de forma coordenada, com objetivos específicos.

Num certo sentido o nerd solitário era uma espécie de artesão, criando ou obtendo os programas necessários para executar seus ataques em pequena escala. O ataque em escala industrial é uma espécie de evolução do processo artesanal. A “industrialização” envolve a escolha e treinamento dos “membros” incluindo apoio financeiro para custear o aperfeiçoar o conhecimento dos escolhidos. Esses membros treinados atuam praticamente como soldados numa guerra virtual agindo contra objetivos selecionados por mandatários de escalões superiores e a partir de instalações e equipamentos do mandatário.

Esta postagem tem como base o paperThe All-Purpose Sword: North Korea’s Cyber Operations and Strategies” (em tradução livre: A Espada Multiuso: Operações e Estratégias Cibernéticas da Coreia do Norte), publicado em 2019 que foi escrito por três Sul Coreanos, um tenente da força aérea (Ji Young, Kong) e dois professores universitários (Jong In, Lim e Kyoung Gon, Kim). Contando a introdução e a conclusão o paper tem 5 capítulos. Os capítulos centrais são os capítulos 2. ORGANIZATIONS OF CYBER OPERATIONS IN NORTH KOREA; 3. CYBER OPERATIONS ATTRIBUTED TO NORTH KOREA; e 4. STRATEGIES (em tradução livre: 2. Estrutura Organizacional das Operações Cibernéticas Norte Coreanas; 3. Operações Cibernéticas Atribuídas aos Norte Coreanos; e 4. Estratégias).

Ao longo do texto acrescentaremos outros aspectos que julgarmos pertinente incluindo alguns eventuais acontecimentos posteriores a 2019, ano em que o paper foi publicado. Os links para o texto original do paper (em inglês) e para as demais fontes consultadas estarão no final da postagem.

Sempre que a palavra hacker aparecer nesta postagem será no sentido negativo. Sabemos que existem hackers do bem e a turma do mal, mas nesta postagem vamos generalizar e fazer de conta que hackers sempre são mal-intencionados. O relatório da Immunefi chama os ciberatacantes Norte Coreanos de hackers, generalizando todos como participantes da turma do mal.

Link para o paper (em inglês):

Link para o relatório Immunefi citado acima:

Continua …

2

2 - Um panorama geral do interesse da Coreia do Norte pela guerra cibernética

De acordo com os autores do paper o interesse dos Norte-coreanos pelas questões cibernéticas nasceu durante o governo de Kim Jong-Il (1994/2011), pai do atual governante Kim Jong-Un (2011 / atual). (Nos países asiáticos tais como China, Coréia e Japão os nomes são escritos começando pelo sobrenome, ao contrário do que é adotado, por exemplo, aqui no Brasil). Durante o governo de Kim Jong-Il o mundo viu três guerras que chamaram sua atenção: Guerra do Golfo em 1991; Guerra do Kosovo em 1999 e Guerra do Iraque em 2003. Estas guerras mostraram para Kim Jong-Il a importância de ter capacidade cibernética. É dele a seguinte frase num guia sobre guerra eletrônica publicado em 2005: “If the Internet is like a gun, cyber-attacks are like atomic bombs”, em tradução livre: “Se a Internet é como uma arma, ataques cibernéticos são como bombas atômicas”. As unidades cibernéticas do governo Norte-coreano nasceram com objetivo de ser um poder, tanto sob o aspecto ofensivo como defensivo. Em tempos de paz atua colhendo informações e em tempos de guerra servirá para atacar estruturas cibernéticas do inimigo, tanto civis como militares.

O atual governante da Coreia do Norte, Kim Jong-Un, por acaso, é formado em ciência da computação, provavelmente por influência do pai. Após assumir o governo sucedendo seu pai ele disse que o uso da tecnologia da informação e o apoio da agência de inteligência da Coreia do Norte, conhecido pela sigla RGB – Reconnaissance General Bureau (Gabinete Geral de Reconhecimento) seria possível superar as sanções impostas aos Norte-coreanos e indo além, construir uma nação forte e próspera. A propósito existem várias unidades do governo Norte-coreano atuando na esfera cibernética, divididos basicamente em duas vertentes, um vinculado ao lado “civil” como é o caso do RGB e outro subordinado ao lado “militar” vinculado a órgãos da estrutura militar da Coréia do Sul. Para Kim Jon-Un os membros do RGB são “guerreiros cibernéticos”.

Um desertor de alta patente relatou que todo ano cerca de 50 a 60 jovens escolhidos entre soldados de elite com habilidades em computação são enviados para estudar computação no exterior. Estima-se que à Coreia do Norte possui em torno de 7.000 especialistas atuando em diversas unidades do governo Norte-coreano especialmente voltados para a guerra cibernética.

A escolha das ações de natureza cibernética em escala industrial tem vantagens tais como: I) As unidades podem operar em tempos de paz ou de guerra, ofensiva ou defensivamente, dependendo do interesse e/ou do momento; II) Os custos operacionais são menores se comparados com outras ações, como é o caso de uma guerra armada. III) As ações cibernéticas podem ser atribuídas a terroristas, hackers etc. sem vinculação direta com governo Norte-coreano, que sempre negará seu envolvimento; e IV) uma guerra convencional pode deixar pistas como armamentos utilizados e eventuais soldados capturados.

Outro aspecto materializado no estudo dos especialistas Sul-coreanos é o conceito de “guerra estendida”. Isoladamente a Coréia do Norte não teria condições de atuar no terreno cibernético com a mesma desenvoltura com que atua. O que se estende na realidade é a capacidade de atuação, supostamente apoiado por países vizinhos como a China e a Rússia. Segundo mapas publicados no paper existem cabos de fibra óptica cruzando a fronteira da Coréia do Norte com a China e a Rússia. O paper ainda reporta que diversas operações cibernéticas agressivas partem de dentro do território Chinês. Outro país que aparentemente mantém cooperação estreita com a Coréia do Norte desde 2012 é o Irã. Analistas de segurança identificaram semelhanças entre as técnicas de ataque e arquivos maliciosos utilizados na operação Blockbuster (ataque contra a Sony Pictures em 2013) e um ataque que tinha sido desferido em 2012 contra a petrolífera Saudi Aramco (empresa da Arábia Saudita que é um país rival do Irã).

Outros países onde agentes Norte-coreanos supostamente teriam ou estariam atuando são: Índia, Malásia, Nova Zelândia, Nepal, Quênia, Moçambique e Indonésia. Neste caso não significa que estes países colaboram com a Coréia do Norte, tais agentes possivelmente atuam infiltrados, sem conhecimento dos respetivos governos locais.

Curiosidade

No início do ano de 2018 a agência de notícias britânica Reuters divulgou um fato no mínimo inusitado. O título dizia o seguinte: North Korean leaders used Brazilian passports to apply for Western visas: sources, em tradução livre: “Fontes disseram que líderes Norte-coreanos usaram passaportes brasileiros para solicitar visto de entrada em países ocidentais”.

Img 15 Reuters Passport
Img 15 Reuters Passport734×226 15.7 KB

Print parcial retirado em 21 05 25 de: Exclusive - North Korean leaders used Brazilian passports to apply for Western visas: sources | Reuters

Os passaportes teriam sido usados para visitar países ocidentais na década de 90. Os passaportes foram emitidos com os nomes de Josef Pwag (Kim Jon-Un) e Ijong Tchoi (Kim Jon-Il) em substituição a passaportes vencidos que supostamente teriam sido emitidos no Brasil. O jornal Japonês Yomiuri Shimbun publicou uma notícia em 2011 dizendo que Kim Jong-Un teria visitado o Japão usando um passaporte brasileiro no ano de 1991. O Ministério das Relações Exteriores do Brasil reconheceu a autenticidade dos passaportes que teriam sido emitidos pela Embaixada do Brasil em Praga no dia 26/02/1996 com validade de 10 anos.

Img 14 Passap Br
Img 14 Passap Br988×221 47.9 KB

As fontes citadas pela Reuters disseram que as fotos dos passaportes em questão seriam verdadeiras e teriam sido comprovadas via uso de tecnologia de reconhecimento facial. Quem tiver curiosidade pode olhar a notícia completa nos links ou pesquisar pelos nomes falsos no Google para olhar as imagens dos dois passaportes brasileiros emitidos para os governantes Norte-coreanos.

Links:

https://www.reuters.com/article/world/exclusive-north-korean-leaders-used-brazilian-passports-to-apply-for-western-v-idUSKCN1GB2AZ/

Paper em inglês:

Continua …