Operação rastreia US$ 100 milhões em criptomoedas roubadas por hackers da Coreia do Norte; entenda
Operação oferece rara janela para mundo da espionagem de criptomoedas - e o crescente esforço para encerrar o que se tornou um negócio multibilionário para o regime autoritário da Coreia do Norte
Uma equipe de espiões sul-coreanos e investigadores particulares americanos se reuniram discretamente no serviço de inteligência sul-coreano em janeiro, poucos dias depois que a Coreia do Norte disparou três mísseis balísticos no mar.
Durante meses, eles rastrearam US$ 100 milhões roubados de uma empresa de criptomoedas da Califórnia chamada Harmony, esperando que hackers norte-coreanos transferissem as criptomoedas roubadas para contas que poderiam eventualmente ser convertidas em dólares ou yuan chinês, moeda forte que poderia financiar o programa ilegal de mísseis do país.
Quando chegasse o momento, os espiões e detetives — trabalhando em um escritório do governo em Pangyo, conhecida como o Vale do Silício da Coreia do Sul — teriam apenas alguns minutos para ajudar a apreender o dinheiro antes que ele pudesse ser lavado em segurança por meio de uma série de contas intocáveis.
Finalmente, no final de janeiro, os hackers transferiram uma fração do saque para uma conta de criptomoedas atrelada ao dólar, cedendo temporariamente o controle dela. Os espiões e investigadores atacaram, sinalizando a transação para as autoridades policiais dos EUA que estavam de prontidão para congelar o dinheiro.
A equipe de Pangyo ajudou a apreender pouco mais de US$ 1 milhão naquele dia. Embora analistas digam à CNN que a maior parte dos US$ 100 milhões roubados permanece fora do alcance em criptomoedas e outros ativos controlados pela Coreia do Norte, foi o tipo de apreensão que os EUA e seus aliados precisarão para evitar grandes pagamentos a Pyongyang.
A operação, descrita à CNN por investigadores particulares da Chainalysis, uma empresa de rastreamento de blockchain com sede em Nova York, e confirmada pelo Serviço Nacional de Inteligência da Coreia do Sul, oferece uma rara janela para o mundo obscuro da espionagem de criptomoedas — e o crescente esforço para encerrar o que se tornou um negócio multibilionário para o regime autoritário da Coreia do Norte.
Nos últimos anos, hackers norte-coreanos roubaram bilhões de dólares de bancos e empresas de criptomoedas, de acordo com relatórios das Nações Unidas e de empresas privadas. Como os investigadores e reguladores perceberam, o regime norte-coreano tem tentado maneiras cada vez mais elaboradas de lavar esse dinheiro digital roubado em moeda forte, disseram autoridades dos EUA e especialistas privados à CNN.
Cortar o pipeline de criptomoedas da Coreia do Norte tornou-se rapidamente um imperativo de segurança nacional para os EUA e a Coreia do Sul. A capacidade do regime de usar o dinheiro digital roubado — ou remessas de funcionários de TI norte-coreanos no exterior — para financiar seus programas de armas faz parte do conjunto regular de produtos de inteligência apresentados a altos funcionários dos EUA, incluindo, às vezes, o presidente Joe Biden, disse um alto funcionário dos EUA oficial.
Os norte-coreanos “precisam de dinheiro, então vão continuar sendo criativos”, disse o funcionário à CNN. “Acho que eles nunca vão parar de procurar maneiras ilícitas de obter fundos porque é um regime autoritário sob pesadas sanções.”
O hacking de criptomoedas da Coreia do Norte foi o assunto mais lembrado em uma reunião de 7 de abril em Seul, onde diplomatas americanos, japoneses e sul-coreanos divulgaram uma declaração conjunta lamentando que o regime de Kim Jong Un continue a “derramar seus escassos recursos em suas armas de destruição em massa [ADM] e programas de mísseis balísticos”.
“Também estamos profundamente preocupados com a forma como a Coreia do Norte apoia esses programas roubando e lavando fundos, bem como coletando informações por meio de atividades cibernéticas maliciosas”, disse o comunicado trilateral.
A Coreia do Norte já havia negado alegações semelhantes. A CNN enviou um e-mail e ligou para a Embaixada da Coreia do Norte em Londres em busca de comentários.
“North Korea Inc” torna-se virtual
A partir do final dos anos 2000, as autoridades americanas e seus aliados vasculharam as águas internacionais em busca de sinais de que a Coreia do Norte estava fugindo das sanções ao traficar armas, carvão ou outras cargas preciosas, uma prática que continua. Agora, uma reviravolta muito moderna nessa competição está se desenrolando entre hackers e lavadores de dinheiro em Pyongyang, e agências de inteligência e policiais de Washington a Seul.
O FBI e o Serviço Secreto lideraram esse trabalho nos EUA (ambas as agências se recusaram a comentar quando a CNN perguntou como eles rastreiam a lavagem de dinheiro norte-coreana).
A sucessão de membros da família Kim que governou a Coreia do Norte nos últimos 70 anos usou empresas estatais para enriquecer a família e garantir a sobrevivência do regime, segundo especialistas.
É uma empresa familiar que o estudioso John Park chama de “North Korea Incorporated”.
Kim Jong Un, o atual ditador da Coreia do Norte, “dobrou as capacidades cibernéticas e o roubo de criptomoedas como gerador de receita para seu regime familiar”, disse Park, que dirige o Korea Project no Belfer Center da Harvard Kennedy School. “A North Korea Incorporated tornou-se virtual.”
Em comparação com o comércio de carvão da Coreia do Norte para obter receita no passado, o roubo de criptomoeda é muito menos trabalhoso e intensivo em capital, disse Park. E os lucros são astronômicos.
No ano passado, um recorde de US$ 3,8 bilhões em criptomoedas foi roubado de todo o mundo, de acordo com a Chainalysis. Quase metade disso, ou US$ 1,7 bilhão, foi obra de hackers ligados à Coreia do Norte, disse a empresa.
Não está claro quanto de seus bilhões em criptomoeda roubada a Coreia do Norte conseguiu converter em dinheiro vivo. Em entrevista, um funcionário do Tesouro dos EUA focado na Coreia do Norte se recusou a dar uma estimativa. O registro público de transações de blockchain ajuda as autoridades dos EUA a rastrear os esforços de supostos agentes norte-coreanos para mover criptomoedas, disse o funcionário do Tesouro.
Mas quando a Coreia do Norte recebe ajuda de outros países para lavar esse dinheiro, é “incrivelmente preocupante”, disse o funcionário. (Eles se recusaram a nomear um país específico, mas os EUA em 2020 indiciaram dois chineses por supostamente lavar mais de US$ 100 milhões para a Coreia do Norte.)
Os hackers de Pyongyang também vasculharam as redes de vários governos e empresas estrangeiras em busca de informações técnicas importantes que possam ser úteis para seu programa nuclear, de acordo com um relatório privado das Nações Unidas em fevereiro revisado pela CNN.
A repressão
Um porta-voz do Serviço Nacional de Inteligência da Coreia do Sul disse à CNN que desenvolveu um esquema de “compartilhamento rápido de inteligência” com aliados e empresas privadas para responder à ameaça e está procurando novas maneiras de impedir que criptomoedas roubadas sejam contrabandeadas para a Coreia do Norte.
Esforços recentes se concentraram no uso da Coreia do Norte do que é conhecido como serviços de mixagem, ferramentas disponíveis publicamente usadas para ocultar a fonte da criptomoeda.
Em 15 de março, o Departamento de Justiça e as agências europeias de aplicação da lei anunciaram o fechamento de um serviço de mixagem conhecido como ChipMixer, que os norte-coreanos supostamente usaram para lavar uma quantia não especificada dos cerca de US$ 700 milhões roubados por hackers em três diferentes roubos de criptomoedas — incluindo o Roubo de US$ 100 milhões da Harmony, empresa de criptomoedas da Califórnia.
Investigadores particulares usam software de rastreamento de blockchain – e seus próprios olhos quando o software os alerta – para identificar o momento em que os fundos roubados saem das mãos dos norte-coreanos e podem ser apreendidos. Mas esses investigadores precisam de relacionamentos confiáveis com as autoridades policiais e empresas de criptografia para agir com rapidez suficiente para recuperar os fundos.
Uma das maiores contra-ações dos EUA até o momento ocorreu em agosto, quando o Departamento do Tesouro sancionou um serviço de “mistura” de criptomoedas conhecido como Tornado Cash, que supostamente lavou US$ 455 milhões para hackers norte-coreanos.
O Tornado Cash era particularmente valioso porque tinha mais liquidez do que outros serviços, permitindo que o dinheiro norte-coreano se escondesse mais facilmente entre outras fontes de fundos. A Tornado Cash agora está processando menos transações depois que as sanções do Tesouro forçaram os norte-coreanos a procurar outros serviços de mixagem.
Supostos agentes norte-coreanos enviaram US$ 24 milhões em dezembro e janeiro por meio de um novo serviço de mixagem, o Sinbad, de acordo com a Chainalysis, mas ainda não há sinais de que o Sinbad será tão eficaz em movimentar dinheiro quanto o Tornado Cash.
As pessoas por trás dos serviços de mixagem, como Roman Semenov, desenvolvedor do Tornado Cash, costumam se descrever como defensores da privacidade que argumentam que suas ferramentas de criptomoeda podem ser usadas para o bem ou para o mal como qualquer tecnologia. Mas isso não impediu as agências de aplicação da lei de reprimir. A polícia holandesa prendeu em agosto outro suposto desenvolvedor do Tornado Cash, cujo nome não foi divulgado, por suposta lavagem de dinheiro.
Empresas privadas de rastreamento de criptomoedas como a Chainalysis estão cada vez mais trabalhando com ex-agentes da lei dos EUA e da Europa que estão aplicando o que aprenderam no mundo dos classificados para rastrear a lavagem de dinheiro de Pyongyang.
A Elliptic, uma empresa sediada em Londres com ex-agentes da lei em sua equipe, afirma que ajudou a apreender US$ 1,4 milhão em dinheiro norte-coreano roubado no hack do Harmony. Os analistas da Elliptic disseram à CNN que conseguiram acompanhar o dinheiro em tempo real em fevereiro, quando ele mudou brevemente para duas exchanges populares de criptomoedas, Huobi e Binance. Os analistas dizem que notificaram rapidamente as bolsas, que congelaram o dinheiro.
“É um pouco como importações de medicamentos em larga escala”, disse Tom Robinson, co-fundador da Elliptic, à CNN. “Os norte-coreanos estão preparados para perder parte disso, mas a maior parte provavelmente passa apenas em virtude do volume e da velocidade com que o fazem e são bastante sofisticados nisso.”
Os norte-coreanos não estão apenas tentando roubar de empresas de criptomoedas, mas também diretamente de outros ladrões de criptomoedas.
Depois que um hacker desconhecido roubou US$ 200 milhões da empresa britânica Euler Finance em março, supostos agentes norte-coreanos tentaram armar uma armadilha: eles enviaram ao hacker uma mensagem no blockchain com uma vulnerabilidade que pode ter sido uma tentativa de obter acesso aos fundos, de acordo com a Elliptic. O ardil não funcionou.
Nick Carlsen, que era um analista de inteligência do FBI focado na Coreia do Norte até 2021, estima que a Coreia do Norte pode ter apenas algumas centenas de pessoas focadas na tarefa de explorar criptomoedas para escapar das sanções.
Com um esforço internacional para sancionar trocas de criptomoedas desonestas e apreender dinheiro roubado, Carlsen teme que a Coreia do Norte possa recorrer a formas menos evidentes de fraude. Em vez de roubar meio bilhão de dólares de uma bolsa de criptomoedas, ele sugeriu, os agentes de Pyongyang poderiam montar um esquema de pirâmide que atraisse muito menos atenção.
No entanto, mesmo com margens de lucro reduzidas, o roubo de criptomoedas ainda é “extremamente lucrativo”, disse Carlsen, que agora trabalha na empresa de investigação de fraudes TRM Labs. “Então, eles não têm motivos para parar.”
Gawon Bae, da CNN em Seul, e Richard Roth, em Nova York, contribuíram para esta reportagem