O FBI, autoridade federal de polícia dos Estados Unidos, acusou formalmente uma empresa e um cidadão norte-coreano por envolvimento em diversos ciberataques, entre eles o vírus de resgate WannaCry, o vazamento de dados da Sony Pictures e a invasão de instituições financeiras e entidades sul-coreanas. O FBI moveu uma ação contra Park Jin Hyok, de 34 anos, que teria realizado os ataques durante seu expediente na Chosun Expo, uma empresa de fachada que abriga atividades do governo norte-coreano.

A investigação associou Park Jin Hyok e a Chosun Expo ao grupo de hackers conhecido como Lazarus. A peça de 170 páginas afirma que eles orquestraram os seguintes ataques:

  • A invasão da Sony Pictures Entertainment, o estúdio de cinema da Sony. Os invasores vazaram dados do estúdio e filmes em 2014;
  • O vírus WannaCry, disseminado em 2017, que afetou computadores em todo mundo e deixou o sistema de saúde pública da Inglaterra com dificuldades operacionais;
  • Ataques contra diversos bancos, inclusive uma invasão que desviou milhões de dólares do Banco de Bangladesh e detectado após um erro de digitação. Outros bancos envolvidos estariam localizados na Ásia (um no Vietnã, um nas Filipinas e outro em um país não especificado) e um na África;
  • Tentativa de invasão da Lockheed Martin, possivelmente por interesses envolvendo a instalação do sistema antimísseis da empresa na Coreia do Sul, em mensagens falsas enviadas em 2016;
  • Invasão das empresas operadoras das salas de cinema AMC Theatres e Mammoth Screen em 2014;
  • Ataques contra diversas organizações sul-coreanas, baseada nas associações já realizadas por fabricantes de antivírus que ligaram o ataque à Sony com os ataques do vírus Destover .

Para achar os pontos em comum desses episódios, a a autoridade norte-americana mapeou a atividade dos hackers a partir dos e-mails de “spear-phishing” enviados por eles. O “spear-phishing” é um e-mail redigido com conteúdo e destinatário específico para conseguir convencer um indivíduo (normalmente um funcionário da empresa alvo) a baixar um arquivo contendo um programa espião que permitirá ao invasor adentrar a rede da vítima.

Muitas das mensagens enviadas pelos hackers partiram de endereços do Gmail. Dessa forma, os agentes americanos obtiveram amplo acesso às comunicações e atividades dos hackers, conseguindo relacionar endereços IP (muitos deles ligados à Coreia do Norte) aos e-mails enviados e aos acessos às contas. Nessa teia de contas e acessos, Park Jin Hyok cometeu erros que permitiram ao FBI ligar sua conta pessoal a uma conta envolvida nos ataques.

O FBI analisou o funcionamento dos vírus e programas usados nos ataques, identificando os endereços IP dos servidores da infraestrutura do crime (dados vazados, por exemplo, tinham de ser enviados para algum lugar). O órgão utilizou detalhes técnicos encontrados por empresas antivírus, como a Symantec e a russa Kaspersky Lab (com quem o governo americano possui uma desavença).

Uma foto de Park Jin Hyok foi obtida pelo FBI. A imagem estava em um currículo enviado a uma empresa na China que contratava serviços de informática da Coreia do Norte. O currículo era parte de um comunicado que comunicava a substituição de um membro na equipe de programadores e afirma que Park Jin Hyok trabalha como “desenvolvedor de jogos on-line” desde 2002.

WannaCry

O FBI usou evidências circunstanciais para associar os hackers ao vírus de resgate WannaCry. Como não houve ataque de “spear-phishing” no caso do WannaCry, a investigação não pôde associar o vírus às contas de e-mail mapeadas nos outros ataques.

Porém, o FBI conseguiu identificar diversas semelhanças técnicas entre as primeiras versões do WannaCry (que não se espalharam muito) e o código usado nos demais ataques. Isso inclui desde a linguagem de programação usada até indícios que apontam que o computador onde o vírus foi gerado foi configurado com suporte ao idioma coreano. Os investigadores encontraram detalhes que apontam inclusive a configuração de fuso horário da máquina.

Chosun Expo

O FBI alega que a Chosun Expo é uma empresa de fachada que abriga atividades do Lab 110, um departamento operações cibernéticas do governo norte-coreano. Essa acusação tem por base afirmações de refugiados, de grupos que estudam o regime norte-coreano e o uso dos endereços de e-mail ligados ao ataque em outras atividades — inclusive o envio de mercadoria para a Coreia do Norte a partir da Austrália.

Oficialmente, a Chosun Expo é uma empresa de software e comércio eletrônico. Inicialmente, havia interesse em abrir a companhia em uma sociedade entre a Coreia do Norte e investidores sul-coreanos, mas a ideia não prosperou e os norte-coreanos abriram a empresa sozinhos.

Segundo o FBI, a internet na Coreia do Norte é altamente controlada, de modo que pessoas comuns, sem autorização especial do regime, não teriam acesso aos serviços de internet do Google, por exemplo. O fato de que funcionários da Chosun Expo podiam acessar esses serviços é, desse modo, um indício de que eles estariam agindo com a anuência do regime.

Com base na acusação, os Estados Unidos aplicaram sanções imediatas contra a Chosun Expo e Park Jin Hyok. Park Jin Hyok também entrou na lista de procurados do FBI como “responsável por algumas das invasões de computadores mais caras da história”. Ele é acusado de formação de quadrilha — o que indica que os ataques não foram realizados apenas por ele –, mas o FBI não forneceu nenhum outro nome.