Cibercrime

O grupo de hackers que rouba para o líder da Coreia do Norte

Maria Oliveira

O líder da Coreia do Norte recorre a hackers para ganhar dinheiro

Foto Via Kns / Afp

De nome Lazarus, o grupo de cibercriminosos que em 2017 infetou computadores em todo o mundo com o vírus WannaCry, roubou cerca de 585 milhões de euros em criptomoedas. Este é o maior golpe digital da história. Mas quem são os Lazarus?

No final do mês de março, o grupo de criminosos Lazarus, que trabalham para o regime norte-coreano, realizou aquele que já está a ser considerado o maior roubo cibernético de que há conhecimento. Foram cerca de 585 milhões de euros em criptomoedas ethereum (a segunda mais usada após a bitcoin), de um website relacionado com o videojogo Axie Infinity, que o grupo conseguiu extorquir.

A associação do golpe ao grupo norte-coreano partiu dos Estados Unidos (EUA). A consultora Chainalysis, especializada em blockchain, também estima que os hackers da Coreia do Norte possam ter levado 400 milhões de dólares em ativos digitais no ano passado, através de vários ataques dirigidos a plataformas de criptomoedas.

O "patrocínio" de equipas de hackers por parte dos governos é comum em alguns países, como a China, o Irão ou os Estados Unidos, que recorrem aos piratas informáticos para realizar sabotagens ou obter informações valiosas. Mas o caso da Coreia do Norte é distinto. O líder recorre aos hackers para ganhar dinheiro, de forma a sobreviver às duras sanções internacionais a que o país está sujeito.

Quem são os Lazarus?

Os Lazarus são cibercriminosos, mas não são meros ladrões digitais. Em 2017, foi lançado o WannaCry, o maior ransomware da história, e os EUA e o Reino Unido, bem como a empresa Microsoft, atribuem a criação deste software malicioso ao grupo norte-coreano. Este vírus criptografa arquivos e exige um pagamento para descriptografá-los. Estima-se que o WannaCry tenha afetado cerca de 300 000 computadores em 150 países, incluindo os do serviço nacional de saúde do Reino Unido, que acabou por ficar paralisado.

Um ano antes, em 2016, o grupo Lazarus tentou roubar mil milhões de dólares ao Banco Central do Bangladesh. O esquema consistia em fazerem-se passar por funcionários do banco e obter licenças para movimentar o dinheiro. O ataque acabou por não ser bem-sucedido devido a um erro de codificação. Mesmo assim, conseguiram levar 81 milhões de dólares. O FBI considerou aquele o maior ataque cibernético da história.

Há também suspeitas de que em 2018 roubaram cerca de 530 milhões de dólares em tokens (ativos financeiros digitais) do portal japonês de intercambio de criptomoedas, Coincheck.

Mas os Lazarus também realizam ações de sabotagem. Os hackers norte-coreanos estiveram especialmente ativos durante 2020, quando as grandes farmacêuticas estavam a trabalhar freneticamente para desenvolver uma vacina contra a Covid-19. Tentaram invadir os computadores dos trabalhadores da AstraZeneca, que estavam em pleno desenvolvimento de uma vacina e, mais tarde, tentaram roubar informação à Pfizer.

Sendo a Coreia do Norte um dos poucos países do mundo onde a pandemia foi mantida à distância (até há algumas semanas), as intenções do país poderiam estar associadas a uma sabotagem do processo das farmacêuticas ou à venda de segredos industriais.

Outro dos golpes mais notórios dos Lazarus que não teve fins económicos ocorreu em 2014 e foi o primeiro aviso de que os norte-coreanos não eram amadores no campo digital. O alvo foi a Sony Entertainment, a produtora de The Interview, um filme de comédia que gira em torno de duas pessoas contratadas para assassinar Kim Jong-un.

Um mês antes da data prevista para o lançamento, um grupo de hackers infetou os computadores dos trabalhadores da Sony. Conseguiram apagar dados confidenciais da empresa, publicar detalhes salariais e revelaram e-mails comprometedores de alguns dos gestores. Também ameaçaram atacar as salas de cinema onde o filme foi exibido, o que levou os grandes distribuidores a removê-lo do cartaz.

Roubar dinheiro para o regime

Todo o dinheiro que os Lazarus roubam tem o mesmo fim: ir para o regime de Kim Jong-un. Ao contrário de outras ameaças persistentes avançadas (APT), termo pelo qual são conhecidos grupos organizados de hackers com maiores capacidades, os Lazarus agem com o objetivo principal de favorecer financeiramente o regime norte-coreano.

Geralmente, as APT - equipas geridas e patrocinadas por governos, que estão no topo da pirâmide dos hackers - são muito bem estruturadas e hierárquicas, com departamentos e profissionais cujas funções estão muito definidas, e dispõem de recursos económicos que lhes permitem desenvolver ataques complexos, coordenados e rápidos. No papel, apenas os serviços secretos das grandes potências (EUA, Rússia ou Reino Unido) têm mais poder do que as APT.

Devido à própria natureza da internet, onde é fácil passar despercebido, os ciberataques são muito difíceis de atribuir. "As APT são basicamente rastreadas com pistas fornecidas pelos serviços de inteligência e particularidades do código, mas fazer uma boa análise forense que determina a autoria pode levar meses", explica o hacker e analista de cibersegurança Deepak Daswani, citado no jornal "El País". É por isso que os governos usam APT para sabotar, espiar ou realizar ações de inteligência sem provocar incidentes diplomáticos.

No caso do grupo Lazarus, os objetivos do lançamento de ransomware têm em vista a angariação de dinheiro para sustentar um regime, que devido às sanções internacionais, precisa de recorrer a outros meios para atingir os fins.

Relacionadas