O regime norte-coreano tem tentado colocar operacionais em empregos de tecnologia em todo a indústria de tecnologia da informação
Devin, fundador de uma startup de criptomoedas com sede em São Francisco, nos Estados Unidos (EUA), acordou um dia de fevereiro com o telefonema mais bizarro da sua vida.
O homem do outro lado, um agente do FBI, disse a Devin que o aparentemente legítimo programador de software que ele tinha contratado no verão anterior era um agente norte-coreano, que havia enviado dezenas de milhares de dólares do seu salário para o regime autoritário do país.
Confuso, Devin desligou e disse que cortou imediatamente o funcionário das contas da empresa.
"Ele era um bom colaborador", lamentou Devin, intrigado com o homem que alegou ser chinês e passou por várias rondas de entrevistas para ser contratado. (A CNN está a usar um pseudónimo para Devin, de forma a proteger a identidade da sua empresa).
O caso de Devin é apenas um exemplo do que as autoridades dos EUA dizem ser um esforço implacável, e crescente, do governo norte-coreano para se infiltrar e roubar criptomoedas e outras empresas de tecnologia em todo o mundo, de forma a ajudar a financiar o programa ilícito de armas nucleares e balísticas de Kim Jong Un.
Nos últimos anos, hackers apoiados pelo governo norte-coreano roubaram o equivalente a milhares de milhões de dólares ao invadir trocas de criptomoedas, de acordo com as Nações Unidas. Em alguns casos, conseguiram roubar centenas de milhões de dólares num único assalto, afirmam o FBI e investigadores particulares.
Agora, investigadores federais dos EUA alertam publicamente para um pilar fundamental da estratégia norte-coreana, na qual o regime coloca operacionais em empregos de tecnologia em todo a indústria de tecnologia da informação.
O FBI, os departamentos do Tesouro e de Estado emitiram um raro comunicado público em maio sobre milhares de funcionários de Tecnologias da Informação (TI) "altamente qualificados" que fornecem a Pyongyang "um fluxo crítico de receita" que ajuda a financiar as "mais altas prioridades económicas e de segurança" do regime.
É um esquema elaborado para ganhar dinheiro, que depende de empresas de fachada e fraudes para atacar uma indústria volátil que está constantemente em busca de grandes talentos. Os trabalhadores de tecnologia norte-coreanos podem ganhar mais de 300 mil dólares por ano (295 mil euros) - centenas de vezes mais que o salário médio de um cidadão norte-coreano - e até 90% dos seus salários vão para o regime, de acordo com a informação divulgada pelos EUA.
"[Os norte-coreanos] levam isso muito a sério", disse Soo Kim, ex-analista da Coreia do Norte na CIA. “Não é apenas um cidadão comum no sótão a tentar roubar criptomoedas”, acrescentou, referindo-se ao processo de criação de riqueza digital. "É um modo de vida."
O valor da criptomoeda caiu nos últimos meses, reduzindo o roubo norte-coreano em muitos milhões de dólares. De acordo com a Chainalysis, uma empresa que rastreia a moeda digital, o valor das participações norte-coreanas em "carteiras" ou contas de criptomoedas que não foram levantadas caiu mais de metade desde o final do ano passado, passando de 170 milhões de dólares (167 mil euros) para cerca de 65 milhões de dólares (64 mil euros).
No entanto, os analistas dizem que o setor das criptomoedas é um alvo demasiado valioso para os agentes norte-coreanos se afastarem, graças às defesas cibernéticas relativamente fracas do setor e do papel que a criptomoeda pode desempenhar na fuga às sanções.
Autoridades dos EUA realizaram nos últimos meses uma série de encontros privados com governos estrangeiros, como o Japão, e com empresas de tecnologia nos EUA e no exterior, para alertar para as ameaças vindas da Coreia do Norte, disse à CNN um funcionário do Departamento do Tesouro especializado na Coreia do Norte.
A lista de empresas alvo dos norte-coreanos abrange praticamente todas as especialidades de freelance do setor de tecnologia, incluindo processadores de pagamentos e empresas de recrutamento, disse o funcionário.
Pyongyang conta com os seus funcionários de tecnologia para obter receitas há anos. Mas a pandemia – e o bloqueio ocasional que causou na Coreia do Norte – tornou a diáspora tecnológica uma fonte de financiamento ainda mais crucial para o regime, disse o funcionário do Tesouro à CNN.
"O Tesouro continuará a atacar o esquema de geração de receita da Coreia do Norte, incluindo o programa ilícito de trabalhadores de TI e as atividades cibernéticas malignas relacionadas", disse Brian Nelson, subsecretário do Tesouro para terrorismo e inteligência financeira, em comunicado à CNN.
"Empresas que se envolvem ou realizam transações para trabalhadores de tecnologia da Coreia do Norte correm o risco de se expôrem a sanções dos EUA e da ONU", acrescentou Nelson, que no mês passado se reuniu com funcionários do governo sul-coreano para discutir formas de combater a lavagem de dinheiro e a atividade de cibercrimes da Coreia do Norte.
A CNN enviou um e-mail e ligou para a Embaixada da Coreia do Norte, em Londres, pedindo comentários.
Investigadores federais também estão à procura de americanos que possam estar tentados a partilhar os seus conhecimentos em moedas digitais com a Coreia do Norte.
Em abril, um programador americano, de 39 anos, chamado Virgil Griffith foi condenado a mais de cinco anos de prisão nos EUA por violar as sanções dos norte-americanos à Coreia do Norte. Isto aconteceu depois de falar numa conferência, em 2019, sobre blockchain e sobre como evitar sanções. Griffith declarou-se culpado e, numa declaração apresentada ao juiz antes da sentença, expressou "profundo arrependimento" e "vergonha" pelas suas ações, que atribuiu a uma obsessão em visitar a Coreia do Norte "antes de cair".
Mas o desafio a longo prazo enfrentado pelas autoridades dos EUA é muito mais subtil do que as conferências de blockchain em Pyongyang: envolve tentar reduzir as fontes obscuras de financiamento que o governo norte-coreano obtém.
Uma espada de dois gumes
O governo norte-coreano há muito que beneficia de pessoas de fora que subestimam a capacidade do regime de se defender, prosperar no mercado negro e explorar a tecnologia da informação que sustenta a economia global.
O regime constituiu um grupo de hackers, destacando estudantes promissores nas áreas da matemática e das ciências, colocando o país ao mesmo nível de regimes como o Irão, a China e a Rússia nos relatórios de potências cibernéticas dos serviços de informação dos EUA.
Um dos ataques norte-coreanos mais infames ocorreu em 2014, com a paralisação dos sistemas de computador da Sony Pictures Entertainment, em retaliação pelo filme "The Interview", que envolvia um plano fictício para matar Kim Jong Un. Dois anos depois, hackers norte-coreanos roubaram cerca de 81 milhões de dólares (79 mil euros) ao Banco do Bangladesh, usando o sistema SWIFT para transferência de fundos bancários.
Desde então, as equipas de hackers da Coreia do Norte começaram a explorar o mercado de criptomoedas. Os retornos foram, muitas vezes, astronômicos.
Em março, hackers ligados a Pyongyang roubaram o equivalente a 600 milhões de dólares (589 mil euros) em criptomoedas de uma empresa de videogames sediada no Vietname, segundo o FBI. Para além disso, é provável que hackers norte-coreanos provavelmente estejam por trás de um roubo de 100 milhões de dólares (98 mil euros) de uma empresa de criptomoedas com sede na Califórnia, de acordo com a empresa de análise de blockchain Elliptic.
“A maioria dessas empresas e serviços de criptografia ainda está muito longe do nível de segurança que vemos nos bancos tradicionais e noutras instituições financeiras”, disse Fred Plan, analista principal da empresa de segurança cibernética Mandiant, que investigou suspeitos de serem trabalhadores de tecnologia norte-coreanos, compartilhando algumas das suas descobertas com a CNN.
Os milhares de trabalhadores de tecnologia norte-coreanos são uma faca de dois gumes para Pyongyang: podem ganhar salários que contornam as sanções da ONU e dos EUA e que vão diretos para o regime, ao mesmo tempo que oferecem aos hackers norte-coreanos apoio em criptomoedas ou outras empresas de tecnologia. Os funcionários das tecnologias de informação às vezes fornecem suporte "logístico" aos hackers e transferem criptomoedas, disse o recente comunicado do governo dos EUA.
"A comunidade de programadores qualificados na Coreia do Norte com permissão para entrar em contato com ocidentais é certamente muito pequena", disse Nick Carlsen, que até ao ano passado era um analista de informação do FBI focado na Coreia do Norte.
"Essas pessoas conhecem-se. Mesmo que um determinado funcionário de TI não seja um hacker, ele conhece um", disse Carlsen, que agora trabalha na TRM Labs, uma empresa que investiga fraudes financeiras. "Qualquer vulnerabilidade que eles possam identificar nos sistemas de um cliente está em grave risco."
Tanto os trabalhadores de tecnologia como os hackers da Coreia do Norte usaram a natureza relativamente aberta do processo de procura de emprego – no qual qualquer um pode fingir ser qualquer pessoa em plataformas como o LinkedIn – a seu favor. No final de 2019, por exemplo, possíveis hackers norte-coreanos fizeram-se passar por recrutadores de emprego no LinkedIn para direcionar dados confidenciais de duas empresas aeroespaciais e de defesa europeias, de acordo com investigadores da empresa de segurança cibernética ESET.
“Procuramos ativamente sinais de atividades patrocinadas pelo estado na plataforma e rapidamente agimos contra os mal-feitores para proteger os nossos membros”, disse o LinkedIn em comunicado à CNN. “Não esperamos por pedidos,a nossa equipa de informação sobre ameaças remove contas falsas usando dados que descobrimos e inteligência de várias fontes, incluindo agências governamentais”.
Aprender a identificar alertas
Alguns no setor de criptomoedas estão a ficar mais cautelosos à medida que contratam novos talentos. No caso de Jonathan Wu, uma videochamada com um candidato, em abril, pode tê-lo impedido de contratar alguém que suspeitava ser um trabalhador de tecnologia norte-coreano.
Como chefe de marketing da Aztec, uma empresa que oferece recursos de privacidade para o Ethereum, um tipo popular de tecnologia de criptomoedas, Wu procurava um engenheiro de software quando a equipa de recrutamento encontrou um currículo promissor que alguém tinha enviado.
O candidato alegou ter experiência com NFTs e outros ramos do mercado das criptomoedas.
"Parecia alguém que poderíamos contratar como engenheiro", disse Wu, que mora em Nova Yorque.
No entanto, Wu reconheceu uma série de alertas no candidato, que se identificou como "Bobby Sierra". Ele falou num inglês hesitante durante a entrevista, manteve a câmara desligada e mal conseguia confirmar a sua história, ao mesmo tempo que praticamente exigia um trabalho.
Wu acabou por não contratar "Sierra", que afirmou no currículo morar no Canadá.
"Parecia que ele estava num call center", disse Wu. "Parecia que havia outras quatro ou cinco pessoas a falar alto no escritório, também aparentemente em entrevistas ou telefonemas, a falar uma mistura de coreano e inglês."
"Sierra" não respondeu às mensagens enviadas por e-mail por Telegram com pedidos de comentários.
A CNN teve acesso aos currículos que os supostos trabalhadores de tecnologia norte-coreanos enviaram à empresa de Wu e à startup de criptomoedas fundada por Devin. Os currículos parecem genéricos de forma a não levantar suspeitas e usam expressões populares no setor das criptomoedas, como “blockchain”.
Um agente norte-coreano suspeito, rastreado pela Mandiant, a empresa de segurança cibernética, fez várias perguntas a outras pessoas da comunidade de criptomoedas sobre como o Ethereum funciona e interage com outras tecnologias, disse a Mandiant.
O norte-coreano pode estar a colecionar informações sobre a tecnologia, que poderiam ser úteis para mais tarde hackear, de acordo com o principal analista da Mandiant, Michael Barnhart.
"Essas pessoas sabem exatamente o que querem dos programadores no Ethereum", disse Barnhart. "Eles sabem exatamente do que estão à procura."
Os currículos falsos e outras técnicas usadas pelos norte-coreanos provavelmente só ficarão mais credíveis, disse Kim, o ex-analista da CIA, que agora é analista de políticas da RAND Corp.
“Mesmo que o método de operação não seja perfeito, nas maneiras de abordar estrangeiros e aproveitar as suas vulnerabilidades, ainda é um mercado novo para a Coreia do Norte”, disse Kim à CNN. “À luz dos desafios que o regime enfrenta – escassez de alimentos, menos países dispostos a envolverem-se com a Coreia do Norte... isto vai simplesmente ser algo que eles vão continuar a utilizar porque, basicamente, ninguém os está a impedir de o fazer.”
