Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão ao banco nacional de Bangladesh e quase conseguiram. Mas como eles fizeram isso?
Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão (mais de R$ 5 bilhões) ao banco nacional de Bangladesh e estiveram muito perto de conseguir aplicar o golpe — foi apenas por causa de um pequeno acaso que quase todas as transferências (a exceção foi uma de US$ 81 milhões, ou R$ 412 milhões) foram interrompidas.
Mas como um dos países mais pobres e isolados conseguiu produzir uma equipe de cibercriminosos de ponta?
Tudo começou com uma impressora com defeito. Isso faz parte do cotidiano de todo mundo hoje em dia. Por isso, quando aconteceu com os funcionários do Bangladesh Bank, eles tiveram a mesma reação que qualquer um de nós teria: mais um dia, mais uma dor de cabeça tecnológica.
Pode não parecer um grande motivo de preocupação. Mas esta não era uma impressora qualquer e este não era um banco qualquer. O Bangladesh Bank é o banco central do país, responsável por supervisionar as preciosas reservas monetárias de um país onde milhões vivem na pobreza.
E a impressora desempenha um papel fundamental. Ela fica em uma sala altamente segura no 10º andar da sede do banco em Dhaka, a capital. Seu trabalho é imprimir registros das transferências multimilionárias que entram e saem do banco.
Quando a equipe descobriu que a impressora não estava funcionando, às 8h45 da sexta-feira, dia 5 de fevereiro de 2016, “presumimos que era um problema comum como acontece qualquer dia”, disse mais tarde o gerente de plantão Zubair Bin Huda à polícia. “Essas falhas já aconteceram antes.”
Na verdade, essa foi a primeira indicação de que o Bangladesh Bank estava com muitos problemas. Hackers haviam invadido suas redes de computadores e, naquele exato momento, estavam realizando o ataque cibernético mais audacioso já tentado. Seu objetivo: roubar 1 bilhão de dólares.
Para retirar o dinheiro, a gangue por trás do roubo usava contas bancárias falsas, instituições de caridade, cassinos e uma ampla rede de cúmplices. Mas quem eram esses hackers e de onde eles vieram?
Segundo os investigadores, as “impressões digitais” deixadas por eles apontam apenas para uma direção: para o governo da Coreia do Norte.
O fato de a Coreia do Norte ser o principal suspeito em um caso de crime cibernético pode gerar espanto para alguns. Trata-se de um dos países mais pobres do mundo e em grande parte desconectado da comunidade global — tecnologicamente, economicamente e em quase todas as outras formas.
E ainda, de acordo com o FBI (polícia federal americana, que atua também no ramo de inteligência), o audacioso ataque cibernético do Bangladesh Bank foi o ápice de anos de preparação metódica feita por uma equipe obscura de hackers e intermediários em toda a Ásia, operando com o apoio do regime norte-coreano.
Na indústria de segurança cibernética, os hackers norte-coreanos são conhecidos como Grupo Lazarus, uma referência a uma figura bíblica (Lázaro) que voltou dos mortos; especialistas que atacaram os vírus de computador do grupo descobriram que eles eram resistentes.
Pouco se sabe sobre eles, embora o FBI tenha criado um perfil detalhado de um suspeito: Park Jin-hyok, que também atende pelos nomes de Pak Jin-hek e Park Kwang-jin.
O FBI o descreve como um programador de computador que se formou em uma das melhores universidades do país e foi trabalhar para uma empresa norte-coreana, a Chosun Expo, na cidade portuária chinesa de Dalian, criando jogos online e programas de apostas para clientes em todo o mundo.
Enquanto estava em Dalian, ele criou um endereço de e-mail, elaborou um currículo e usou as mídias sociais para construir uma rede de contatos. As pegadas cibernéticas indicavam que ele já estava em Dalian em 2002 e, de forma intermitente, até 2013 ou 2014, quando sua atividade na internet parecia vir da capital norte-coreana, Pyongyang, de acordo com o depoimento de um investigador do FBI.
A agência divulgou uma foto retirada de um e-mail de 2011 enviado por um gerente da Chosun Expo apresentando Park a um cliente externo. A foto mostra um homem coreano bem-vestido com cerca de 20 ou 30 anos, usando uma camisa preta listrada e um terno marrom chocolate. Nada fora do comum, à primeira vista, além de um olhar esgotado em seu rosto.
Mas o FBI diz que ele trabalhava como programador durante o dia e agia como hacker à noite.
Em junho de 2018, as autoridades dos EUA indiciaram Park por conspiração para cometer fraude eletrônica (fraude envolvendo correio ou comunicação eletrônica) entre setembro de 2014 e agosto de 2017. Caso seja rastreado e levado a julgamento um dia, ele poderia pegar até 20 anos de prisão. Ele voltou da China para a Coreia do Norte quatro anos antes de as acusações serem feitas.
Mas Park (se esse for seu nome verdadeiro) não se tornou um hacker do Estado da noite para o dia. Ele é um dos milhares de jovens norte-coreanos que foram criados desde a infância para se tornarem guerreiros cibernéticos — matemáticos talentosos de apenas 12 anos tirados de suas escolas e enviados para a capital, onde recebem aulas intensivas da manhã à noite.
Quando a equipe do banco reiniciou a impressora, eles receberam notícias muito preocupantes. A impressora estava gerando mensagens urgentes do Federal Reserve Bank de Nova York — o “Fed” — onde Bangladesh mantém uma conta em dólares americanos. O Fed havia recebido instruções, aparentemente vindas do Banco de Bangladesh, para esvaziar toda a conta — algo perto de um bilhão de dólares.
Os funcionários bengalis tentaram entrar em contato com o Fed para obter esclarecimentos, mas graças à atenção dos hackers ao relógio e ao calendário, eles não conseguiram falar com ninguém nos EUA.
O ataque começou por volta das 20h, horário de Bangladesh, na quinta-feira, 4 de fevereiro. Mas em Nova York, era quinta-feira de manhã, dando ao Fed bastante tempo para (involuntariamente) realizar os desejos dos hackers enquanto era noite em Bangladesh.
No dia seguinte, sexta-feira, foi o início do fim de semana de Bangladesh, que vai de sexta a sábado. Portanto, a sede do banco em Dhaka estava entrando em folga por dois dias. E quando os funcionários de Bangladesh começaram a entender que se tratava de um roubo, no sábado, já era fim de semana em Nova York.
“Assim se percebe a elegância do ataque”, diz o especialista em segurança cibernética Rakesh Asthana. “A data da noite de quinta-feira tem um propósito bem definido. Na sexta-feira, Nova York está funcionando e o Bangladesh Bank está fechado. Quando o Bangladesh Bank volta a abrir, o Federal Reserve Bank está fechado. Portanto, isso atrasou quase toda a descoberta em três dias.”
E os hackers tinham mais um truque na manga para ganhar ainda mais tempo. Depois de terem transferido o dinheiro do Fed, eles precisavam enviá-lo para outro lugar. Então, eles o conectaram a contas que tinham aberto em Manila, capital das Filipinas. E em 2016, a segunda-feira, dia 8 de fevereiro, foi o primeiro dia do Ano Novo Lunar, um feriado nacional em toda a Ásia.
Explorando essas diferenças de fuso horário entre Bangladesh, Nova York e as Filipinas, os hackers planejaram uma janela de cinco dias para roubar o dinheiro.
Eles tiveram muito tempo para planejar tudo isso, porque, como se descobriu posteriormente, o Grupo Lazarus já vinha acessando os sistemas de computador do Banco de Bangladesh por um ano.
Em janeiro de 2015, um e-mail aparentemente inocente havia sido enviado a vários funcionários do Bangladesh Bank. O e-mail vinha de um candidato a emprego que assinava com o nome Rasel Ahlam e incluía um convite para baixar seu currículo e carta de apresentação de um site. Na realidade, Rasel não existia — ele era apenas um nome falso criado pelo Grupo Lazarus, de acordo com os investigadores do FBI. Pelo menos uma pessoa dentro do banco caiu no golpe, baixou os documentos e teve seu computador infectado com os vírus escondidos lá dentro.
Uma vez dentro dos sistemas do banco, o Grupo Lazarus começou a pular de um computador para outro, sempre em direção aos cofres digitais e aos bilhões de dólares que eles continham.
E então, de repente, eles pararam.
Por que os hackers só roubaram o dinheiro um ano depois que o e-mail inicial de phishing (nome dado a esse tipo de golpe com vírus em e-mails) chegou ao banco? Por que arriscar ser descoberto todo esse tempo? Porque, ao que parece, eles precisavam de tempo para alinhar suas rotas de fuga quando roubassem o dinheiro.
A rua Jupiter é uma movimentada via em Manila. Ao lado de um eco-hotel e de um consultório odontológico fica uma agência do RCBC, um dos maiores bancos do país. Em maio de 2015, alguns meses depois que os hackers acessaram os sistemas do Bangladesh Bank, quatro contas foram abertas nesta agência pelos cúmplices dos hackers.
Em análise posterior foi possível constatar vários sinais suspeitos: as carteiras de habilitação utilizadas para abrir as contas eram falsas e os candidatos afirmavam ter exatamente o mesmo cargo e salário, apesar de trabalharem em empresas diferentes. Mas ninguém pareceu notar.
Por meses, as contas permaneceram inativas, com seu depósito inicial de US$ 500 (cerca de R$ 2,5 mil) intocado, enquanto os hackers trabalhavam em outros aspectos do plano. Quando o Grupo Lazarus entrou em ação, no entanto, essas contas provaram ser fundamentais para permitir que os criminosos retirassem os fundos roubados.
Em fevereiro de 2016, tendo hackeado com sucesso o Bangladesh Bank e criado canais para o dinheiro, o Grupo Lazarus estava pronto.
Mas eles ainda tinham um obstáculo: a impressora no 10º andar. O Bangladesh Bank criou um sistema de backup em papel para registrar todas as transferências feitas de suas contas. Esse registro de transações em papel corria o risco de expor o trabalho dos hackers instantaneamente. E então eles invadiram o software que a controlava, desativando-a.
Com suas ações todas devidamente despistadas, às 20:36 na quinta-feira, dia 4 de fevereiro de 2016, os hackers começaram a fazer suas transferências: foram 35 ao todo, totalizando US$ 951 milhões (R$ 4,8 bilhões), quase todo o dinheiro da conta do
Bangladesh Bank no Fed de Nova York. Os ladrões estavam prestes a ter um “grande dia de pagamento” — mas, como se fosse um filme de assalto de Hollywood, um único e minúsculo detalhe acabou com o plano.
Na medida em que o Banco de Bangladesh via o dinheiro sendo roubado no decorrer daquele fim de semana, os funcionários do banco tentavam entender o que estava acontecendo. O diretor do banco conhecia Rakesh Asthana e sua empresa de segurança, a World Informatix, e entrou em contato com a companhia pedindo ajuda. Nesse ponto, diz Asthana, o diretor ainda acreditava que poderia recuperar o dinheiro roubado. Como resultado, ele manteve o golpe em segredo, não apenas do público, mas até mesmo do seu próprio governo.
fonte: BBC
