Alvo de sanções internacionais que afetam sua economia, a Coreia do Norte encontrou uma nova forma para financiar a ditadura que controla o país: roubar dinheiro de organizações estrangeiras através de ataques online.

A ação é feita por um grupo de hackers ligado ao governo do ditador Kim Jong-un que já tentou roubar US$ 1,1 bilhão (R$ 4,3 bilhões) de outros países, entre eles o Brasil. É a maior quantia ligada a um grupo específico na história.

As informações sobre a existência e a atuação do grupo foram reveladas nesta quarta-feira (3) pela FireEye, empresa de cibersegurança que costuma trabalhar em conjunto com o governo americano.

Entre os alvos já confirmados estão o Banco Central de Bangladesh e os bancos Far Eastern International (de Taiwan), o mexicano Bancomext (México) e, mais recentemente, o Banco de Chile.

Por questão de confidencialidade, a empresa não informou quais organizações brasileiras foram alvejadas, mas revelou que os ataques foram de pequena escala. Além dos bancos e do setor financeiro, indústrias e empresas de mídia também foram atacadas.

Embora já existisse a desconfiança de que Pyongyang mantinha hackers com o objetivo de roubar dinheiro para dar fôlego ao regime, é a primeira vez que a um grupo do tipo é confirmada.

Até o momento, apenas ataques online de cunho político —como o realizado contra a Sony em 2014 antes do lançamento do filme “A entrevista”, que satirizava Kim Jong-un— tinham sido atribuídos ao governo norte-coreano.

O relatório mostra que o grupo existe ao menos desde 2014, um ano após o Conselho de Segurança da ONU impor novas sanções contra o regime, e que sua atuação não diminuiu em 2018 apesar da aproximação entre Pyongyang e Washington, que culminou na cúpula entre Kim e o presidente americano, Donald Trump, em junho em Singapura.

“Uma das razões que estamos revelando isso é que o grupo continua agindo normalmente apesar das cúpulas”, afirmou Sandra Joyce, vice-presidente de inteligência global da empresa.

Embora não exista uma denominação oficial, o grupo recebeu no relatório o nome de APT 38, sigla em inglês que significa ameaça avançada persistente e que indica que é ligado a um Estado (o número serve para diferenciá-lo de outras organizações com a mesma classificação).

As APTs são consideradas a principal ameaça à segurança cibernética mundial porque são bancadas por dinheiro estatal, o que as permitem ter grandes equipes e atacar vários alvos de forma simultânea. Segundo Joyce, o grupo norte-coreano pode realizar até nove ataques de grande escala ao mesmo tempo.

Nenhuma pessoa foi identificada como parte do ATP 38, mas o relatório aponta uma ligação entre ele e Park Jin-hyok, cidadão norte-coreano acusado pelo governo americano do ataque contra a Sony em 2014.

Para realizar suas ações, o grupo primeiro identifica indivíduos que trabalham na organização que planeja atacar e rouba seus dados sem que ela perceba, em geral através de sites ou emails falsos.  

Com isso em mãos, os hackers acessam o sistema da organização e passam a estudar a melhor forma de realizar o roubo. Em média, ficam 155 dias dentro do sistema antes de atacar —em alguns casos foram quase dois anos de espera.

Para a analista Jacqueline O’Leary, que trabalhou no relatório, este é o modus operandi de espiões, não de hackers. “Eles têm paciência, não fazem ataque de frente”, disse ela. 

Após enfim realizarem o roubo, o grupo norte-coreano deixa ainda um programa para implodir todo o sistema. A ideia é ao mesmo tempo destruir as evidências do ataque e desviar a atenção de autoridades de segurança, como um ladrão que queima a casa após o furto.

Muitas organizações só percebem que foram alvo da ação neste momento, quando o roubo já foi concluído e sua rede, destruída.