Como hackers norte-coreanos quase roubaram US$ 1 bilhão de banco

Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão ao banco nacional de Bangladesh e quase conseguiram. Mas como eles fizeram isso? Coreia do NorteGetty...

Como hackers norte-coreanos quase roubaram US$ 1 bilhão de banco
Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão ao banco nacional de Bangladesh e quase conseguiram. Mas como eles fizeram isso? Coreia do Norte

Getty Images via BBC

Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão (mais de R$ 5 bilhões) ao banco nacional de Bangladesh e estiveram muito perto de conseguir aplicar o golpe — foi apenas por causa de um pequeno acaso que quase todas as transferências (a exceção foi uma de US$ 81 milhões, ou R$ 412 milhões) foram interrompidas.

Mas como um dos países mais pobres e isolados conseguiu produzir uma equipe de cibercriminosos de ponta?

Tudo começou com uma impressora com defeito. Isso faz parte do cotidiano de todo mundo hoje em dia. Por isso, quando aconteceu com os funcionários do Bangladesh Bank, eles tiveram a mesma reação que qualquer um de nós teria: mais um dia, mais uma dor de cabeça tecnológica.

Pode não parecer um grande motivo de preocupação. Mas esta não era uma impressora qualquer e este não era um banco qualquer. O Bangladesh Bank é o banco central do país, responsável por supervisionar as preciosas reservas monetárias de um país onde milhões vivem na pobreza.

E a impressora desempenha um papel fundamental. Ela fica em uma sala altamente segura no 10º andar da sede do banco em Dhaka, a capital. Seu trabalho é imprimir registros das transferências multimilionárias que entram e saem do banco.

Quando a equipe descobriu que a impressora não estava funcionando, às 8h45 da sexta-feira, dia 5 de fevereiro de 2016, "presumimos que era um problema comum como acontece qualquer dia", disse mais tarde o gerente de plantão Zubair Bin Huda à polícia. "Essas falhas já aconteceram antes."

Na verdade, essa foi a primeira indicação de que o Bangladesh Bank estava com muitos problemas. Hackers haviam invadido suas redes de computadores e, naquele exato momento, estavam realizando o ataque cibernético mais audacioso já tentado. Seu objetivo: roubar 1 bilhão de dólares.

Para retirar o dinheiro, a gangue por trás do roubo usava contas bancárias falsas, instituições de caridade, cassinos e uma ampla rede de cúmplices. Mas quem eram esses hackers e de onde eles vieram?

Segundo os investigadores, as "impressões digitais" deixadas por eles apontam apenas para uma direção: para o governo da Coreia do Norte.

O fato de a Coreia do Norte ser o principal suspeito em um caso de crime cibernético pode gerar espanto para alguns. Trata-se de um dos países mais pobres do mundo e em grande parte desconectado da comunidade global — tecnologicamente, economicamente e em quase todas as outras formas.

Pyongyiang

Getty Images via BBC

E ainda, de acordo com o FBI (polícia federal americana, que atua também no ramo de inteligência), o audacioso ataque cibernético do Bangladesh Bank foi o ápice de anos de preparação metódica feita por uma equipe obscura de hackers e intermediários em toda a Ásia, operando com o apoio do regime norte-coreano.

Na indústria de segurança cibernética, os hackers norte-coreanos são conhecidos como Grupo Lazarus, uma referência a uma figura bíblica (Lázaro) que voltou dos mortos; especialistas que atacaram os vírus de computador do grupo descobriram que eles eram resistentes.

Pouco se sabe sobre eles, embora o FBI tenha criado um perfil detalhado de um suspeito: Park Jin-hyok, que também atende pelos nomes de Pak Jin-hek e Park Kwang-jin.

O FBI o descreve como um programador de computador que se formou em uma das melhores universidades do país e foi trabalhar para uma empresa norte-coreana, a Chosun Expo, na cidade portuária chinesa de Dalian, criando jogos online e programas de apostas para clientes em todo o mundo.

Enquanto estava em Dalian, ele criou um endereço de e-mail, elaborou um currículo e usou as mídias sociais para construir uma rede de contatos. As pegadas cibernéticas indicavam que ele já estava em Dalian em 2002 e, de forma intermitente, até 2013 ou 2014, quando sua atividade na internet parecia vir da capital norte-coreana, Pyongyang, de acordo com o depoimento de um investigador do FBI.

A agência divulgou uma foto retirada de um e-mail de 2011 enviado por um gerente da Chosun Expo apresentando Park a um cliente externo. A foto mostra um homem coreano bem-vestido com cerca de 20 ou 30 anos, usando uma camisa preta listrada e um terno marrom chocolate. Nada fora do comum, à primeira vista, além de um olhar esgotado em seu rosto.

Coreia do Norte

Getty Images via BBC

Mas o FBI diz que ele trabalhava como programador durante o dia e agia como hacker à noite.

Em junho de 2018, as autoridades dos EUA indiciaram Park por conspiração para cometer fraude eletrônica (fraude envolvendo correio ou comunicação eletrônica) entre setembro de 2014 e agosto de 2017. Caso seja rastreado e levado a julgamento um dia, ele poderia pegar até 20 anos de prisão. Ele voltou da China para a Coreia do Norte quatro anos antes de as acusações serem feitas.

Mas Park (se esse for seu nome verdadeiro) não se tornou um hacker do Estado da noite para o dia. Ele é um dos milhares de jovens norte-coreanos que foram criados desde a infância para se tornarem guerreiros cibernéticos — matemáticos talentosos de apenas 12 anos tirados de suas escolas e enviados para a capital, onde recebem aulas intensivas da manhã à noite.

Quando a equipe do banco reiniciou a impressora, eles receberam notícias muito preocupantes. A impressora estava gerando mensagens urgentes do Federal Reserve Bank de Nova York — o "Fed" — onde Bangladesh mantém uma conta em dólares americanos. O Fed havia recebido instruções, aparentemente vindas do Banco de Bangladesh, para esvaziar toda a conta — algo perto de um bilhão de dólares.

Os funcionários bengalis tentaram entrar em contato com o Fed para obter esclarecimentos, mas graças à atenção dos hackers ao relógio e ao calendário, eles não conseguiram falar com ninguém nos EUA.

O ataque começou por volta das 20h, horário de Bangladesh, na quinta-feira, 4 de fevereiro. Mas em Nova York, era quinta-feira de manhã, dando ao Fed bastante tempo para (involuntariamente) realizar os desejos dos hackers enquanto era noite em Bangladesh.

Noite na capital de Bangladesh, em Dhaka

Getty Images via BBC

No dia seguinte, sexta-feira, foi o início do fim de semana de Bangladesh, que vai de sexta a sábado. Portanto, a sede do banco em Dhaka estava entrando em folga por dois dias. E quando os funcionários de Bangladesh começaram a entender que se tratava de um roubo, no sábado, já era fim de semana em Nova York.

"Assim se percebe a elegância do ataque", diz o especialista em segurança cibernética Rakesh Asthana. "A data da noite de quinta-feira tem um propósito bem definido. Na sexta-feira, Nova York está funcionando e o Bangladesh Bank está fechado. Quando o Bangladesh Bank volta a abrir, o Federal Reserve Bank está fechado. Portanto, isso atrasou quase toda a descoberta em três dias."

E os hackers tinham mais um truque na manga para ganhar ainda mais tempo. Depois de terem transferido o dinheiro do Fed, eles precisavam enviá-lo para outro lugar. Então, eles o conectaram a contas que tinham aberto em Manila, capital das Filipinas. E em 2016, a segunda-feira, dia 8 de fevereiro, foi o primeiro dia do Ano Novo Lunar, um feriado nacional em toda a Ásia.

Explorando essas diferenças de fuso horário entre Bangladesh, Nova York e as Filipinas, os hackers planejaram uma janela de cinco dias para roubar o dinheiro.

Eles tiveram muito tempo para planejar tudo isso, porque, como se descobriu posteriormente, o Grupo Lazarus já vinha acessando os sistemas de computador do Banco de Bangladesh por um ano.

Em janeiro de 2015, um e-mail aparentemente inocente havia sido enviado a vários funcionários do Bangladesh Bank. O e-mail vinha de um candidato a emprego que assinava com o nome Rasel Ahlam e incluía um convite para baixar seu currículo e carta de apresentação de um site. Na realidade, Rasel não existia — ele era apenas um nome falso criado pelo Grupo Lazarus, de acordo com os investigadores do FBI. Pelo menos uma pessoa dentro do banco caiu no golpe, baixou os documentos e teve seu computador infectado com os vírus escondidos lá dentro.

Uma vez dentro dos sistemas do banco, o Grupo Lazarus começou a pular de um computador para outro, sempre em direção aos cofres digitais e aos bilhões de dólares que eles continham.

E então, de repente, eles pararam.

Por que os hackers só roubaram o dinheiro um ano depois que o e-mail inicial de phishing (nome dado a esse tipo de golpe com vírus em e-mails) chegou ao banco? Por que arriscar ser descoberto todo esse tempo? Porque, ao que parece, eles precisavam de tempo para alinhar suas rotas de fuga quando roubassem o dinheiro.

Agência na rua Jupiter do banco RCBC, em Manila, nas Filipinas

Getty Images via BBC

A rua Jupiter é uma movimentada via em Manila. Ao lado de um eco-hotel e de um consultório odontológico fica uma agência do RCBC, um dos maiores bancos do país. Em maio de 2015, alguns meses depois que os hackers acessaram os sistemas do Bangladesh Bank, quatro contas foram abertas nesta agência pelos cúmplices dos hackers.

Em análise posterior foi possível constatar vários sinais suspeitos: as carteiras de habilitação utilizadas para abrir as contas eram falsas e os candidatos afirmavam ter exatamente o mesmo cargo e salário, apesar de trabalharem em empresas diferentes. Mas ninguém pareceu notar.

Por meses, as contas permaneceram inativas, com seu depósito inicial de US$ 500 (cerca de R$ 2,5 mil) intocado, enquanto os hackers trabalhavam em outros aspectos do plano. Quando o Grupo Lazarus entrou em ação, no entanto, essas contas provaram ser fundamentais para permitir que os criminosos retirassem os fundos roubados.

Em fevereiro de 2016, tendo hackeado com sucesso o Bangladesh Bank e criado canais para o dinheiro, o Grupo Lazarus estava pronto.

Mas eles ainda tinham um obstáculo: a impressora no 10º andar. O Bangladesh Bank criou um sistema de backup em papel para registrar todas as transferências feitas de suas contas. Esse registro de transações em papel corria o risco de expor o trabalho dos hackers instantaneamente. E então eles invadiram o software que a controlava, desativando-a.

Com suas ações todas devidamente despistadas, às 20:36 na quinta-feira, dia 4 de fevereiro de 2016, os hackers começaram a fazer suas transferências: foram 35 ao todo, totalizando US$ 951 milhões (R$ 4,8 bilhões), quase todo o dinheiro da conta do Bangladesh Bank no Fed de Nova York. Os ladrões estavam prestes a ter um "grande dia de pagamento" — mas, como se fosse um filme de assalto de Hollywood, um único e minúsculo detalhe acabou com o plano.

Na medida em que o Banco de Bangladesh via o dinheiro sendo roubado no decorrer daquele fim de semana, os funcionários do banco tentavam entender o que estava acontecendo. O diretor do banco conhecia Rakesh Asthana e sua empresa de segurança, a World Informatix, e entrou em contato com a companhia pedindo ajuda. Nesse ponto, diz Asthana, o diretor ainda acreditava que poderia recuperar o dinheiro roubado. Como resultado, ele manteve o golpe em segredo, não apenas do público, mas até mesmo do seu próprio governo.

Vista da Praça Shapla, no distrito financeiro de Dhaka, de um andar alto do Banco de Bangladesh

Getty Images via BBC

Enquanto isso, Asthana tentava descobrir o tamanho do ataque. Ele descobriu que os ladrões tinham obtido acesso a uma parte importante dos sistemas do Banco de Bangladesh, chamada Swift. É o sistema usado por milhares de bancos em todo o mundo para coordenar as transferências de grandes somas entre si.

Os hackers não exploraram uma vulnerabilidade no Swift — eles não precisavam fazer isso — eles estavam dentro dos sistemas do Bangladesh Bank e, no que se refere ao software do Swift, os hackers pareciam verdadeiros funcionários do banco.

Logo ficou claro para os funcionários do Bangladesh Bank que as transações não podiam ser simplesmente revertidas. Parte do dinheiro já havia chegado às Filipinas, onde as autoridades disseram que precisariam de uma ordem judicial para iniciar um processo de resgate do dinheiro. As ordens judiciais são documentos públicos e, portanto, quando o Bangladesh Bank finalmente entrou com um processo no final de fevereiro, a história se tornou pública e virou manchete em todo o mundo.

As consequências para o diretor do banco foram quase instantâneas. "Ele foi convidado a renunciar", disse Asthana. "Nunca mais o vi."

A congressista dos EUA, Carolyn Maloney, lembra-se claramente de onde estava quando ouviu falar pela primeira vez sobre o ataque ao banco de Bangladesh. "Estava saindo do Congresso e indo para o aeroporto e lendo sobre o roubo, e foi fascinante, chocante — um incidente aterrorizante, provavelmente um dos mais aterrorizantes que já vi no mercado financeiro."

Como integrante do Comitê de Serviços Financeiros do Congresso, Maloney via um problema ainda maior: com o Swift sendo parte de um sistema que movimenta bilhões de dólares no comércio global, um ataque como este poderia minar fatalmente a confiança no sistema.

Ela estava particularmente preocupada com o envolvimento do Federal Reserve Bank. "Estamos falando do Fed de Nova York, que geralmente é tão cuidadoso. Como essas transferências aconteceram?"

Carolyn Maloney: A palavra "Júpiter" fez soar o alarme

Getty Images via BBC

Maloney entrou em contato com o Fed, e a equipe explicou a ela que a maioria das transferências havia de fato sido interrompida — graças a uma pequena coincidência.

A agência bancária RCBC em Manila para a qual os hackers tentaram transferir US$ 951 milhões ficava na Jupiter Street. Existem centenas de bancos em Manila que os hackers poderiam ter usado, mas eles escolheram este — e a decisão custou-lhes centenas de milhões de dólares.

"As transações ... foram retidas no Fed porque o endereço usado em um dos pedidos incluía a palavra 'Júpiter', que também é o nome de um navio iraniano que sofre sanções do governo americano", disse Carolyn Maloney.

A simples menção da palavra "Júpiter" foi o suficiente para fazer soar os alarmes nos sistemas de computador automatizados do Fed. Os pagamentos foram revisados e a maioria deles interrompida. Mas nem todos. Cinco transações, no valor de US$ 101 milhões (mais de R$ 505 milhões), foram concluídas.

Desse total, US$ 20 milhões (cerca de R$ 100 milhões) foram transferidos para uma instituição de caridade do Sri Lanka chamada Shalika Foundation, que havia sido selecionada pelos cúmplices dos hackers como um canal para o dinheiro roubado. (Sua fundadora, Shalika Perera, diz que acreditava que o dinheiro era uma doação legítima.)

Mas aqui, novamente, um pequeno detalhe atrapalhou os planos dos hackers. A transferência foi feita para a "Shalika Fundation". Um funcionário do banco percebeu o erro de grafia na palavra "Foundation" e a transação foi revertida.

Ainda assim US$ 81 milhões (cerca de R$ 405 milhões) passaram. Não é o que os hackers pretendiam, mas o dinheiro perdido ainda foi um grande golpe para Bangladesh, um país onde uma em cada cinco pessoas vive abaixo da linha da pobreza.

O Bangladesh Bank iniciou esforços frenéticos para recuperar o dinheiro, mas os hackers tomaram medidas para impedir isso. Na sexta-feira, dia 5 de fevereiro, as quatro contas abertas no ano anterior na filial da RCBC na rua Júpiter de repente ganharam vida.

O dinheiro foi transferido entre contas, enviado para uma empresa de câmbio, convertido para a moeda local e redepositado no banco. Parte foi sacada em dinheiro. Para especialistas em lavagem de dinheiro, esse comportamento faz todo o sentido.

"Você precisa fazer com que todo esse dinheiro de origem criminosa pareça limpo e pareça ter sido derivado de fontes legítimas para proteger o que quer que você faça com o dinheiro depois", diz Moyara Ruehsen, diretora do Programa de Gestão de Crimes Financeiros em Middlebury Instituto de Estudos Internacionais em Monterey, na Califórnia. "Você quer deixar o rastro do dinheiro o mais obscuro possível."

Mesmo assim, ainda era possível para os investigadores rastrearem a trajetória do dinheiro. Para torná-lo completamente impossível de rastrear, foi preciso retirar o dinheiro do sistema bancário.

O resort Solaire fica à beira-mar em Manila, um palácio branco reluzente que abriga um hotel, um enorme teatro, lojas sofisticadas e — sua atração mais famosa — um amplo cassino. Manila se tornou uma grande atração para os apostadores da China continental, onde o passatempo é ilegal, e o Solaire é "um dos cassinos mais elegantes da Ásia", de acordo com Mohammed Cohen, editor-chefe da revista Inside Asian Gaming Magazine. "Tem um design muito bonito; nada se compara a ele no sudeste da Ásia. Tem cerca de 400 mesas de jogo e cerca de 2 mil caça-níqueis."

O cassino Solaire foi inaugurado em 2013

Getty Images via BBC

Foi aqui, no luxuoso cenário de cassino de Manila, que os ladrões do Bangladesh Bank montaram o próximo estágio de sua operação de lavagem de dinheiro. Dos US$ 81 milhões (R$ 405 milhões) que passaram pelo banco RCBC, US$ 50 milhões (R$ 250 milhões) foram depositados em contas no Solaire e em outro cassino, o Midas. (O que aconteceu com os outros US$ 31 milhões? De acordo com um Comitê do Senado das Filipinas criado para investigar o caso, esse dinheiro foi pago a um chinês chamado Xu Weikang, que teria deixado a cidade em um jato particular e nunca mais se ouviu falar dele.)

A ideia de usar cassinos era quebrar a cadeia de rastreabilidade. Depois que o dinheiro roubado fosse convertido em fichas de cassino, jogado nas mesas e transformado novamente em dinheiro, seria quase impossível para os investigadores rastreá-lo.

Mas e quanto aos riscos do jogo? Os ladrões não correm o risco de perder o saque nas mesas do cassino? De jeito nenhum.

Em vez de jogar nas partes públicas do casino, os ladrões reservaram quartos privados e encheram-nos de cúmplices que jogariam nas mesas; isso deu a eles controle sobre como o dinheiro era apostado.

Em segundo lugar, eles usaram o dinheiro roubado para jogar bacará — um jogo muito popular na Ásia, mas também muito simples. Existem apenas dois resultados nos quais se pode apostar, e um jogador relativamente experiente pode recuperar 90% ou mais de sua aposta (um resultado excelente para lavadores de dinheiro, que geralmente obtêm um retorno muito menor).

Os criminosos agora podiam lavar os fundos roubados e esperar um retorno saudável — mas fazer isso exigiria uma gestão cuidadosa dos jogadores e de suas apostas, e levaria tempo. Durante semanas, os jogadores ficaram sentados nos cassinos de Manila, lavando o dinheiro.

Enquanto isso, o Bangladesh Bank estava se recuperando do golpe sofrido. Seus funcionários visitaram Manila e rastrearam a trilha de dinheiro. Mas quando se tratava de cassinos, eles não tinham mais como seguir a trilha. Naquela época, as casas de jogo das Filipinas não eram cobertas por leis que tratam de lavagem de dinheiro.

No que diz respeito aos cassinos, o dinheiro havia sido depositado por jogadores legítimos, que tinham todo o direito de desperdiçá-lo nas mesas. (O cassino Solaire diz que não tinha ideia de que estava lidando com fundos roubados e está agora cooperando com as autoridades. O Midas não respondeu aos pedidos de comentários.)

Os funcionários do banco conseguiram recuperar US$ 16 milhões (R$ 80 milhões) do dinheiro roubado de um dos homens que organizou os jogos de azar no cassino Midas, chamado Kim Wong. Ele foi indiciado, mas as acusações foram retiradas posteriormente. O resto do dinheiro, entretanto (US$ 34 milhões, ou R$ 170 milhões) estava escapando. Sua próxima parada, de acordo com os investigadores, foi em direção à Coreia do Norte.

Macau é um enclave da China, semelhante em constituição a Hong Kong. Como as Filipinas, é um ponto importante para jogos de azar, com alguns dos cassinos mais prestigiados do mundo. O país também tem laços de longa data com a Coreia do Norte.

Foi aqui que as autoridades norte-coreanas foram, no início dos anos 2000, flagradas lavando notas falsas de US$ 100 de altíssima qualidade — os chamados "superdólares" — que as autoridades norte-americanas afirmam terem sido impressas na Coreia do Norte. O banco local usado para a lavagem de dinheiro foi colocado na lista de sanções dos EUA graças às suas conexões com o regime de Pyongyang.

Foi também em Macau que uma espiã norte-coreana foi treinada antes de bombardear um voo da Korean Air em 1987, matando 115 pessoas. E foi em Macau que o meio-irmão de Kim Jong-un, Kim Jong-nam, viveu no exílio antes de ser fatalmente envenenado na Malásia em um assassinato que muitos acreditam ter sido autorizado pessoalmente pelo líder norte-coreano.

À medida que o dinheiro roubado do Banco de Bangladesh era lavado nas Filipinas, começaram a surgir várias ligações com Macau. Vários dos homens que organizaram as viagens de jogo no Solaire foram rastreados até Macau. Duas das empresas que reservaram as salas privadas de jogo também tinham sede em Macau. Os investigadores acreditam que a maior parte do dinheiro roubado foi parar neste minúsculo território chinês, antes de ser enviado para a Coreia do Norte.

À noite, a Coreia do Norte parece ser um buraco negro em fotos tiradas do espaço sideral pela Nasa, devido à falta de eletricidade na maior parte do país, em forte contraste com a Coreia do Sul, que explode com luz em todas as horas do dia e noite. A Coreia do Norte está entre as 12 nações mais pobres do mundo, com um PIB per capita estimado em apenas US$ 1,7 mil (R$ 8,5 mil) — menos do que Serra Leoa e Afeganistão, de acordo com a CIA. Para efeitos de comparação, o PIB per capita do Brasil é de US$ 8,7 mil.

E, no entanto, a Coreia do Norte produziu alguns dos hackers mais ousados e sofisticados do mundo, ao que parece.

Para entender como e por que a Coreia do Norte conseguiu cultivar unidades de ciberguerra de elite é preciso olhar para a família que governou a Coreia do Norte desde seu início como nação moderna em 1948: os Kims.

O fundador Kim Il-sung construiu a nação oficialmente conhecida como República Popular Democrática da Coreia em um sistema político que é socialista, mas funciona mais como uma monarquia.

Retratos de Kim Il-sung e Kim Jong-il na praça Kim Il-sung, Pyongyang

Getty Images via BBC

Seu filho, Kim Jong-il, conta com os militares como sua base de poder, provocando os EUA com testes de mísseis balísticos e dispositivos nucleares. Para financiar o programa, o regime recorreu a métodos ilícitos, segundo as autoridades norte-americanas — incluindo os altamente sofisticados Superdólares falsificados.

Kim Jong-il também decidiu desde o início incorporar o ciberespaço à estratégia do país, estabelecendo o Centro de Computação da Coreia em 1990. Este continua sendo o coração das operações de TI do país.

Quando, em 2010, Kim Jong-un, o terceiro filho de Kim Jong-il, foi revelado como seu herdeiro, o regime criou uma campanha para retratar o futuro líder, apenas na casa dos 20 anos e desconhecido para seu povo, como um campeão da ciência e da tecnologia. Foi uma campanha destinada a garantir a lealdade de sua geração e inspirá-los a se tornarem seus guerreiros, usando essas novas ferramentas.

Um mural retrata Kim Il-sung e Kim Jong-il em uma aula de TI da escola

Getty Images via BBC

O jovem Kim, que assumiu o poder no final de 2011 com a morte de seu pai, chama as armas nucleares de "espada preciosa". Mas ele precisava de uma maneira de financiá-las, uma tarefa complicada pelas sanções cada vez mais rígidas impostas pelo Conselho de Segurança da ONU após os primeiros testes do país de um dispositivo nuclear e um míssil balístico de longo alcance em 2006. Ataques cibernéticos foram a solução, dizem as autoridades americanas.

Mas a adoção da ciência e da tecnologia não significa permitir que os norte-coreanos se conectem livremente à internet — isso permitiria a muitos ver como o mundo é fora de suas fronteiras e ler relatos que contradizem a mitologia oficial.

Portanto, para treinar seus guerreiros cibernéticos, o regime envia os programadores de computador mais talentosos para o exterior, principalmente para a China. Lá eles aprendem como o resto do mundo usa os computadores e a internet: para fazer compras, jogar, fazer networking e se divertir. É lá, dizem os especialistas, que eles são transformados de gênios matemáticos em hackers.

Acredita-se que muitos desses jovens vivam e trabalhem em centros administrados pela Coreia do Norte na China.

"Eles são muito bons em esconder seus rastros, mas às vezes, como qualquer outro criminoso, eles deixam migalhas, evidências para trás", diz Kyung-jin Kim, ex-chefe do FBI na Coreia que agora trabalha como investigador do setor privado em Seul. "E somos capazes de rastrear seus endereços IP."

Essas migalhas levaram os investigadores a um hotel despretensioso em Shenyang, no nordeste da China, decorado com um par de tigres de pedra, um tema tradicional coreano. O hotel se chama Chilbosan, em homenagem a uma famosa cordilheira da Coreia do Norte.

Fotos postadas em sites de avaliação de hotéis como o Agoda revelam detalhes coreanos encantadores: colchas coloridas, cozinha norte-coreana e garçonetes que cantam e dançam para seus clientes.

O hotel Chilbosan em Shenyang

Getty Images via BBC

Era um fato "bem conhecido na comunidade da inteligência", diz Kyung-jin Kim, que os suspeitos de serem hackers norte-coreanos operavam em Chilbosan quando ingressaram no cenário mundial pela primeira vez em 2014.

Enquanto isso, na cidade chinesa de Dalian, onde Park Jin-hyok viveu por uma década, uma comunidade de programadores de computador vivia e trabalhava em uma operação semelhante administrada pela Coreia do Norte, disse o desertor Hyun-seung Lee.

Lee nasceu e foi criado em Pyongyang, mas viveu por anos em Dalian, onde seu pai era um empresário bem relacionado que trabalhava para o governo norte-coreano, até que a família desertou em 2014. A movimentada cidade portuária entre o Mar Amarelo e a Coreia do Norte abrigava cerca de 500 norte-coreanos quando ele morava lá, diz.

Entre eles, mais de 60 eram programadores — jovens que ele conheceu quando os norte-coreanos se reuniam em feriados nacionais, como o aniversário de Kim Il-sung. Um deles o convidou para visitar seu quarto. Lá, Lee viu "cerca de 20 pessoas morando juntas em um espaço. Quatro a seis pessoas morando em um cômodo, e na sala de estar um escritório, com todos os computadores, todos na sala de estar".

Eles mostraram a Lee o que estavam produzindo: jogos para celulares que estavam vendendo para a Coreia do Sul e Japão por meio de intermediários, ganhando US$ 1 milhão (R$ 5 milhões) por ano.

Embora os oficiais de segurança norte-coreanos estivessem de olho neles, a vida desses jovens ainda era relativamente livre. "Ainda é restrito, mas em comparação com a Coreia do Norte, eles têm muita liberdade para acessar a internet e assistir a alguns filmes", diz Lee.

Após cerca de oito anos em Dalian, Park Jin-hyok parecia ansioso para retornar a Pyongyang. Em um e-mail de 2011 interceptado pelo FBI, ele menciona que deseja se casar com sua noiva. Mas levaria mais alguns anos antes que ele tivesse permissão para fazer isso.

O FBI diz que seus superiores tinham outra missão para ele: um ataque cibernético a uma das maiores empresas de entretenimento do mundo, a Sony Pictures Entertainment, de Hollywood. Em 2013, a Sony Pictures havia anunciado a realização de um novo filme estrelado por Seth Rogen e James Franco que se passaria na Coreia do Norte.

É sobre um apresentador de talk show, interpretado por Franco, e seu produtor, interpretado por Rogen, que vão à Coreia do Norte para entrevistar Kim Jong-un e são persuadidos pela CIA a tentar assassiná-lo.

A Coreia do Norte ameaçou uma ação retaliatória contra os EUA se a Sony Pictures Entertainment lançasse o filme e, em novembro de 2014, um e-mail foi enviado aos chefes da empresa por hackers que se autodenominavam Guardiões da Paz, ameaçando causar "grandes danos".

Três dias depois, uma imagem aterrorizante de um esqueleto vermelho-sangue com presas e olhos brilhantes apareceu nas telas dos computadores dos funcionários. Os hackers haviam cumprido suas ameaças. Salários de executivos, e-mails internos confidenciais e detalhes de filmes ainda não lançados vazaram online — e as atividades da empresa foram paralisadas quando seus computadores foram desativados por vírus de hackers.

Os funcionários não conseguiam usar crachás para entrar em seus escritórios ou utilizar as impressoras. Por seis semanas inteiras, uma lanchonete na MGM, a sede da Sony Pictures Entertainment, não conseguiu aceitar cartões de crédito.

A Sony inicialmente acelerou os planos de lançar o filme, chamado de A Entrevista, mas acabou cancelando tudo às pressas quando os hackers ameaçaram com violência física. As principais cadeias de cinema disseram que não iriam exibir o filme, que acabou saindo apenas em streaming e em alguns cinemas independentes.

Mas o ataque da Sony, ao que parece, pode ter sido uma simulação para um ataque cibernético ainda mais ambicioso — o assalto a banco em 2016 em Bangladesh.

Bangladesh ainda está tentando recuperar o restante do dinheiro roubado — cerca de US$ 65 milhões (R$ 325 milhões). Seu banco nacional está entrando com ações legais contra dezenas de pessoas e instituições, incluindo o banco RCBC, que nega ter violado quaisquer regras.

Por mais habilidoso que fosse hackear o Bangladesh Bank, quão satisfeito estaria o regime de Pyongyang com o resultado final?

Afinal, a trama começou como um roubo de 1 bilhão de dólares, e o lance final teria sido apenas na casa das dezenas de milhões. Centenas de milhões de dólares foram perdidos enquanto os ladrões navegavam no sistema bancário global, e dezenas de milhões mais quando eles pagaram os intermediários. No futuro, segundo as autoridades americanas, a Coreia do Norte ainda vão acabar achando uma maneira de evitar esses problemas.

Kim Jong-un inspecionando forças estratégicas em 2017

Getty Images via BBC

Em maio de 2017, um surto de ransomware conhecido como WannaCry se espalhou como um incêndio, com sequestros de arquivos e cobranças de um resgate de várias centenas de dólares, a serem pagos com a moeda virtual bitcoin. No Reino Unido, o Serviço Nacional de Saúde (NHS, na sigla em inglês) foi atingido; departamentos de acidentes e emergências foram afetados, e consultas urgentes de câncer tiveram que ser remarcadas.

Os investigadores da Agência Nacional do Crime do Reino Unido investigaram o código, junto com o FBI, e encontraram semelhanças impressionantes com os vírus usados para invadir o Bangladesh Bank e a Sony Pictures Entertainment. O FBI acabou acrescentando esse ataque às acusações contra Park Jin-hyok.

Se as alegações do FBI estiverem corretas, isso mostra que o exército cibernético da Coreia do Norte agora adota criptomoedas — um salto importante porque esta nova forma de dinheiro de alta tecnologia evita o sistema bancário tradicional — e pode, portanto, evitar despesas onerosas, como compensações para intermediários.

WannaCry foi apenas o começo. Nos anos seguintes, as empresas de segurança de tecnologia atribuíram muitos outros ataques de criptomoeda à Coreia do Norte. Eles afirmam que os hackers do país têm como alvo as bolsas onde criptomoedas como o Bitcoin são trocadas por moedas tradicionais. Somadas, algumas estimativas apontam roubos nessas bolsas em mais de US$ 2 bilhões.

E as acusações continuam surgindo. Em fevereiro, o Departamento de Justiça dos EUA indiciou outros dois norte-coreanos, que seriam membros do Grupo Lazarus vinculados a uma rede de lavagem de dinheiro que vai do Canadá à Nigéria.

Hacking de computador, lavagem de dinheiro global, roubos de criptomoedas de ponta... se as alegações contra a Coreia do Norte forem verdadeiras, parece que muitas pessoas subestimaram a habilidade técnica do país e o perigo que ele representa.

Mas isso também pinta um quadro perturbador da dinâmica do poder em nosso mundo cada vez mais conectado e nossa vulnerabilidade ao que os especialistas em segurança chamam de "ameaça assimétrica" — a capacidade de um adversário menor de exercer o poder de novas maneiras que o tornam uma ameaça muito maior do que seu porte indicaria.

Investigadores descobriram que uma nação minúscula e desesperadamente pobre pode acessar silenciosamente as caixas de entrada de e-mail e contas bancárias dos ricos e poderosos a milhares de quilômetros de distância. Eles podem explorar esse acesso para causar estragos na vida econômica e profissional de suas vítimas e arrastar suas reputações pela lama. Esta é a nova linha de frente em um campo de batalha global: um nexo obscuro de crime, espionagem e poder de Estado.

E essa ameaça é cada vez maior.