Hackers (do mal) são lobos solitários?

Aviso: Este texto tem como objetivo transcrever trecho de um relatório público elaborado por especialistas a serviço da ONU – Organização das Nações Unidas. O site e o autor do texto não estão fazendo juízo de valor, concordando, discordando ou acusando a Coreia do Norte e órgãos ou pessoas deste país de estarem praticando crimes citados no relatório original. Os vídeos e relatórios são públicos, estão disponíveis na Internet e seus autores estão devidamente identificados.

De acordo com o vídeo acima, publicado pela rede de televisão americana CBS News no dia 17/02/2021 o Departamento de Justiça dos Estados Unidos está atribuindo a autoria de ataques cibernéticos feitos em larga escala a três hackers norte coreanos.

Em alguns dos “trocentos posts” que eu andei fazendo no ano passado eu disse que possivelmente voltaria a tratar deste tema. A fonte ou origem deste texto é um relatório feito por especialistas (os nomes podem ser checados diretamente no relatório) e que foi encaminhado para o Conselho de Segurança das Nações Unidas com recomendações de novas sanções contra a Coreia do Norte devido ao seu programa de desenvolvimento de armas nucleares. Nos interessa especificamente a questão dos ataques hackers praticados ou conduzidos por um país ao contrário da imagem que fazemos dos hackers (alguém sozinho no quarto de uma casa qualquer). Para quem se interessar numa visão mais panorâmica do atuação da Coreia do Norte para contornar as diversas sanções que foram aplicadas vale a pena ver como eles driblam estas restrições comerciais e financeiras. Para isso eles criam empresas de fachadas, falsificam documentos de importação e exportação e atacam via internet bancos e corretoras de criptomoedas, segundo relatório da ONU datado de 05/03/2019 cujos parágrafos 109 a 115 transcrevemos em tradução livre para os três leitores que tem alguma dificuldade com o inglês, como é o meu caso. Aliás, se você foi uma das vítimas do ataque conhecido como “wannacry” em 2017 saiba que os americanos, ingleses e canadenses entre outros países acusam a Coreia do Norte de ser o responsável pela criação deste ramsonware geralmente feito através do velho e conhecido método de phishing onde “clicou dançou” (caso queira saber mais sobre esse tipo de ataque: Ransomware – Wikipédia, a enciclopédia livre).

Como sempre recomendamos aos interessados que consultem diretamente o material original cujo link foi colocado no final do post principalmente se forem pesquisar os links de rodapé que na postagem não ficaram configurados corretamente.

Ataques cibernéticos

  1. O Painel observa uma tendência de burlar as sanções financeiras aplicadas contra a República Popular Democrática da Coreia através do uso de ataques cibernéticos para movimentar ilegalmente a transferência de fundos de instituições financeiras e bolsas de criptomoedas. Segundo um Estado-Membro, “o ciberespaço é utilizado pela RPDC (República Popular Democrática da Coréia) como um meio assimétrico para realização de operações ilícitas e encobertas no terreno dos cibercrimes ou crimes cibernéticos e para driblar as sanções. Essas operações visam obter fundos por meio de uma série de medidas a fim de contornar as sanções.” (Ver anexo 33). Documentos de tribunais dos Estados Unidos, funcionários, declarações e relatórios do governo atribuíram como fonte de vários ataques cibernéticos originados a partir da República Popular Democrática da Coreia ao Reconnaissance General Bureau (I) (agência de inteligência da Coréia do Norte), que desempenha um papel abrangente em ataques cibernéticos.106 Em 2017, um terceiro Estado-Membro informou ao Painel que o Reconnaissance General Bureau supervisionou e conduziu operações de ataque cibernético não apenas para destruir infraestrutura e coleta de informações, mas para fins de obtenção de moeda estrangeira.107 Um quarto Estado-Membro enviou uma carta ao Painel em 2018 na qual foram mencionados ataques cibernéticos atribuídos ao Reconnaissance General Bureau afirmando que relatórios sugerem que “As unidades militares com foco na cibernética têm a tarefa direta de gerar renda para o regime”.

  2. Em 28 de julho de 2016, a Agência Nacional de Polícia da República da Coreia do Sul atribuiu um ataque cibernético contra o shopping online Interpark (II) ao Reconnaissance General Bureau, declarando que o ataque era uma tentativa de “aquisição criminosa de moeda estrangeira” (ver anexo 35) para contornar o congelamento de ativos. O Painel considera este caso como uma tentativa de uma entidade designada para burlar sanções usando um ataque cibernético para forçar a transferência de US $ 2,7 milhões.

  3. Em 6 de setembro de 2018, o Governo dos Estados Unidos indiciou Park Jin Hyok, um hacker da República Popular Democrática da Coreia que trabalhava como membro da organização de hackers da República Popular Democrática da Coreia conhecido como Grupo Lázaro (III), 108 por se envolver em uma "grande conspiração ao longo de vários anos para conduzir invasões de computador e cometer fraude eletrônica por co-conspiradores que trabalham em nome do governo da República Popular Democrática da Coreia ”.109 De acordo com os Estados Unidos, Park já viajou para a China no passado onde trabalhou legalmente atuando para uma empresa de TI com o nome de fachada Chosun Expo ou a Korean Expo Joint Venture (IV), além de atividades conduzidas em nome do Reconnaissance General Bureau da Coreia do Norte ”110 (ver anexo 36). O Painel solicitou informações do Governo da China sobre as atividades da Chosun Expo e possível continuidade das operações desta empresa como uma joint venture ou entidade cooperativa proibida de acordo com a resolução 2375 (2017). A China declarou que “a China conduziu uma investigação com base nas informações fornecidas pelo Painel. Até agora, a China não encontrou nenhuma empresa registrada como Chosun Expo Joint Venture, e atualmente não tem informações sobre Park Jin Hyok. (IV)”

  4. De acordo com os Estados Unidos, Park Jin Hyok e seus co-conspiradores também "atacaram e executaram transferência fraudulenta de US $ 81 milhões do Banco de Bangladesh […] e se envolveram em invasões de computador e cyber-heist (V) contra muitos outros serviços financeiros com vítimas nos Estados Unidos e em outros países na Europa, Ásia, África, América do Norte e América do Sul em 2015, 2016, 2017 e 2018, com perdas estimadas em mais de $ 1 bilhão ”.111 Os $ 81.000.000 foram transferidos com sucesso usando o sistema SWIFT (VI) do Bangladesh Bank no Federal Reserve Bank em Nova York para contas nas Filipinas, onde foi “posteriormente lavado por meio de várias contas bancárias, um negócio de remessa de dinheiro e junkets casinos (VII)” .112 As Filipinas forneceram ao Painel documentos de auditoria interna, correspondências de bancos, imagens de circuito interno de TV e outras informações relevantes para o rastreamento dos fundos roubados, a maioria dos quais não foram recuperados até o momento e a investigação do caso ainda não terminou.

  5. O Painel investigou dois casos adicionais de ataques cibernéticos com motivação financeira, nos quais a República Popular Democrática da Coreia tentou forçar ilegalmente a transferência de mais de $ 20 milhões. Em maio de 2018, um ataque cibernético da República Popular Democrática da Coreia feito por meio de advanced persistent threat - APT (VIII) resultou em $ 10 milhões sendo transferidos do Banco do Chile, principalmente para contas em Hong Kong por meio de transações não autorizadas usando SWIFT. Usando endereços IP e outros detalhes publicados pelo Departamento de Justiça dos Estados Unidos e a análise técnica da programação feita em código aberto vinculou os perpetradores ao Lab 110.113 que, de acordo com os Estados Unidos, faz parte do Reconnaissance General Bureau.114 Então, em agosto de 2018, cerca de US $ 13,5 milhões foram retirados Cosmos Bank na Índia em mais de 14.000 saques simultâneos em caixas eletrônicos (ATM) em 28 países, bem como em transferências adicionais para uma conta pertencente a uma empresa com sede em Hong Kong usando SWIFT. Em 2 de outubro de 2018, os Estados Unidos responderam a esses ataques de retirada do ATM emitindo um alerta de “Campanha FASTCash” para a República Popular Democrática da Coreia.115 Esses ataques mais recentes mostram como a República Popular Democrática da Coreia se tornou um ator cada vez mais sofisticado em ataques cibernéticos para obter ganho financeiro usando ferramentas e táticas que estão sendo aperfeiçoadas constantemente. O ataque ao Cosmos Bank foi uma operação sofisticada, bem planejada e altamente coordenada que contornou as três camadas principais de defesa contidas nas orientações de mitigação de ataques bancários / ATM da Organização Internacional da Polícia Criminal (INTERPOL ).116 Os atores não foram apenas capazes de comprometer a rede SWIFT no caso Cosmos para transferir os fundos para outras contas, mas eles simultaneamente comprometeram os processos internos do banco para contornar os procedimentos de verificação de transações e solicitar transferências mundiais para quase 30 países onde os fundos foram fisicamente retirados por indivíduos em mais de 10.000 transações separadas durante um fim de semana.

  6. O Painel observa que, além dos ataques à moeda fiduciária, os ataques cibernéticos envolvendo criptomoedas fornecem à República Popular Democrática da Coréia diversas maneiras de escapar das sanções, uma vez que são mais difíceis de rastrear, podem ser lavados muitas vezes e são independentes da regulamentação governamental. No ataque de 2017 conhecido como WannaCry (IX) feito pelo Reconnaissance General Bureau, o pedido de resgate foi feito em criptomoeda. De acordo com nossas estimativas, a República Popular Democrática da Coréia realizou pelo menos cinco ataques bem-sucedidos contra corretoras de criptomoedas na Ásia entre janeiro de 2017 e setembro de 2018, resultando em uma perda total de $ 571 milhões 117 (ver anexo 39).

  7. Em seu relatório final mais recente, o Painel incluiu informações mostram que os agentes do Reconnaissance General Bureau (e membros deste departamento) responsáveis ​​por atividades financeiras ilegais na Europa, incluindo grandes transferências bancárias para contas na União Europeia e na Ásia são altamente treinados e qualificados no campo da tecnologia da informação e dentre eles, Kim Su Gwang conseguiu obter uma posição privilegiada na hierarquia da organização administrando todo este sistema de informações.118

Recomendações

  1. O Painel recomenda que o Conselho de Segurança (da ONU), ao redigir futuras medidas de sanções financeiras leve em consideração os ataques cibernéticos realizados pela República Popular Democrática da Coreia para contornar as resoluções e gerar receita ilegalmente para a República Popular Democrática da Coreia.

  2. Os Estados devem melhorar sua capacidade de facilitar a troca robusta de informações sobre os ataques cibernéticos da República Democrática da Coreia com outros governos e com suas próprias instituições financeiras, para detectar e prevenir as tentativas da República Popular Democrática da Coreia de empregar seus recursos cibernéticos para evitar sanções.

  3. Informações sobre ataques cibernéticos conduzidos pelo Reconnaissance General Bureau como um meio de evitar sanções financeiras e obter moeda estrangeira devem ser adicionadas aos dados registrados sobre o Reconnaissance General Bureau na lista de sanções de 1718.”


Notas de rodapé:

106 Ver anexo 34. Em 2017, uma avaliação feita pela Agência de Segurança Nacional (NSA) dos EUA relatada na mídia vinculou o ransomware WannaCry ao Reconnaissance General Bureau, citando como evidência endereços IP conhecidos por terem sido usados ​​pelo Reconnaissance General Bureau, ver Ellen Nakashima, “The NSA has linked the WannaCry computer worm to North Korea”, Washington Post, 14 de junho de 2017. Disponível em https://wapo.st/2EYAVBB (tanto os Estados Unidos quanto o Reino Unido fizeram outras declarações disponíveis em https: //bit.ly/2BK7qm6 and https://bit.ly/2GPGUvn). Ver Daniel Glaser, secretário adjunto de Financiamento do Terrorismo, Departamento do Tesouro dos Estados Unidos, declaração ao Congresso em janeiro de 2015, disponível em - THE NORTH KOREAN THREAT: NUCLEAR, MISSILES AND CYBER. Ver James R. Clapper, Diretor de Inteligência Nacional, Estados Unidos, “Inteligência nacional, Coreia do Norte e a discussão cibernética nacional”, comentou durante a Conferência Internacional sobre Segurança Cibernética em janeiro de 2015. O Serviço de Pesquisa do Congresso dos Estados Unidos declarou que “a maioria das fontes informa que as operações cibernéticas da Coréia do Norte estão sediadas no Reconnaissance General Bureau (RGB)”, disponível em https://fas.org/sgp/crs/row/R44912.pdf. A queixa criminal mencionada abaixo feita pelo Departamento de Justiça dos Estados Unidos em 6 de setembro de 2018 no caso de Park Jin Hyok também atribui os ataques cibernéticos da República Popular Democrática da Coreia ao Reconnaissance General Bureau. Em sua designação pelos Estados Unidos do Reconnaissance General Bureau em resposta ao ataque da Sony Pictures Entertainment, o Tesouro dos Estados Unidos declarou que “muitas das principais operações cibernéticas da RPDC são feitas através de RGB”, consulte www.treasury.gov/press-center/press -releases / Pages / jl9733.aspx.

107 O Estado-Membro informou ao Painel que isso se baseia em estimativas obtidas pela avaliação de codificação e atributos

108 O Governo dos Estados Unidos se refere aos ciber-atacantes apoiados pelo Governo da República Popular Democrática da Coréia como “Hidden Cobra”, consulte www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity.

109 Tribunal Distrital dos Estados Unidos, Distrito Central da Califórnia, Estados Unidos da América v. PARK JIN HYOK, Caso No. MJ18-1479, Queixa Criminal, 8 de junho de 2018, para. 6. Disponível em www.justice.gov/opa/press-release/file/1092091/download.

110 Os Estados Unidos declararam que a Chosun Expo é “uma empresa de fachada afiliada ao Lab 110, uma das organizações de hackers do governo norte-coreano. Esse grupo de hackers é o que alguns pesquisadores privados de segurança cibernética rotularam de “Grupo Lazarus”. Veja o anexo 36, intitulado “Procurado pelo FBI, PARK JIN HYOK, Conspiracy to Commit Wire Fraud; Conspiração para Cometer Fraudes Relacionadas a Computadores (Invasão de Computadores)”.

111 Corte Distrital dos Estados Unidos, Estados Unidos da América v. PARK JIN HYOK, para. 8.

112 Ibid., Par. 144. O Painel observa que, na época, os cassinos não eram considerados instituições financeiras nas Filipinas e, portanto, não eram regulamentados pela lei de combate à lavagem de dinheiro do país.

113 Ver anexos 37 e 38.

114 O Estado-Membro informou o Painel que isso se baseia em estimativas obtidas pela avaliação de codificação e atributos; veja também o anexo 36.

115 Estados Unidos, Departamento de Segurança Interna, Alerta (TA18-275A) Hidden CobraFASTCash campaign, 2 de outubro de 2018. Disponível em www.us-cert.gov/ncas/alerts/TA18-275A.

116 Ver Oleg Kolesnikov, “Securonix Relatório de pesquisa de ameaças: Cosmos Bank SWIFT / ATM US $ 13,5 milhões em detecção de ataques cibernéticos usando análise de segurança”, 27 de agosto de 2018. Disponível em http://bit.ly/2sgABa0.

117 Group-IB, “14 ataques cibernéticos em corretoras de criptomoedas resultaram em perdas de $ 882 milhões”, 17 de outubro de 2018. Disponível em www.group-ib.com/media/gib-crypto-summary/. Veja também o anexo 39; e Priscilla Moriuchi, “North Korea going to cryptos to counter sanctions economics”, The Hill, 22 de janeiro de 2018. Disponível em https://thehill.com/opinion/international/370114-north-korea-turning-to-cryptos-to-counter-economics-sanctions.

118 S / 2018/171, anexo 46


Link para o documento original: https://www.undocs.org/S/2019/171

Link para um texto em português sobre as ações cibernéticas da Coréia do Norte: O Apoio Cibernético nas Operações de Combate da Coreia do Norte

I - Reconnaissance General Bureau - Wikipedia

II - https://securityaffairs.co/wordpress/49821/cyber-warfare-2/north-korea-hacked-interpark.html

III - Lazarus Group - Wikipedia

IV - https://www.livemint.com/Technology/lUrEwsXpwfNBSoPpl6UHVM/North-Korea-hackers-discovered-by-US-through-their-email-tra.html

V - What is cyberheist? - Definition from WhatIs.com (não sei se já existe alguma palavra equivalente em português, mas cyber-heist é a versão cibernética de um tipo específico de ataque em grande escala feito exclusivamente contra grandes bancos, corretoras ou transportadoras de valores (onde tem muita grana) como os cinematográficos roubos que são realizados de tempos em tempos aqui no Brasil, geralmente em cidades do interior. Uma tradução comum de heist é assalto).

VI - SWIFT – Wikipédia, a enciclopédia livre

VII - Junkets são o ás de trunfo (é possível que a maioria saiba o que é um cassino e talvez já tenha perdido alguns trocados numa máquina caça níquel por aí. Por outro lado, junkets casino que são comuns na Ásia misturam “serviços financeiros” e de concierge (Concierge – Wikipédia, a enciclopédia livre) além de oferecer as tradicionais mesas de jogos e máquinas de caça níqueis. Clientes VIP’s ganham hospedagem, atendimento diferenciado e tem “crédito” podendo fazer empréstimos para jogar. Os prestadores de “serviços financeiros” ganham comissões dos cassinos onde atuam).

VIII - Ameaça persistente avançada – Wikipédia, a enciclopédia livre

IX - Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups | U.S. Department of the Treasury (“Lazarus Group was involved in the destructive WannaCry 2.0 ransomware attack which the United States, Australia, Canada, New Zealand and the United Kingdom publicly attributed to North Korea in December 2017.” – em tradução livre: O Grupo Lázaros estava envolvido no destrutivo ataque realizado com o ramsonware WannaCry 2.0 que atingiu países como Estados Unidos, Austrália, Canadá, Nova Zelãndia e Reino Unido e cuja autoria foi atribuído a Coreia do Norte em Dezembro de 2017).


Para encerrar, por acaso você tem algum dólar guardado? Veja o vídeo abaixo e preste atenção no trecho entre os 00:45 e 02:15 e tire suas conclusões.