Hackers da Coreia do Norte roubaram US$ 80 milhões de banco em Bangladesh

Um dos maiores assaltos a banco da história aconteceu pela internet, em 2016, quando hackers a serviço do governo da Coreia do Norte roubaram quase US$ 81 milhões de um banco em Bangladesh. Os detalhes sobre o caso foram publicados nesta semana em reportagem da revista Wired e revelam como os criminosos não apenas burlaram verificações como comprometeram o sistema SWIFT, usado para remessas internacionais de dinheiro.

O roubo, inclusive, teria sido muito pior se não fosse a ação da unidade de Nova York do Federal Reserve Bank, o equivalente americano ao nosso Banco Central. No ataque de 2016, US$ 850 milhões foram movimentados a partir de Bangladesh para, justamente, contas na unidade central novaiorquina. A maior parte do total foi bloqueada, mas uma parte do montante não — mais precisamente, foram US$ 80.931.644 pulverizados a partir do Rizal Bank, nas Filipinas, para contas pessoais e corporativas, pertencentes a cassinos e organizações fantasmas que também ajudaram a lavar o dinheiro e esconder seus rastros.

A operação durou meses e, de acordo com a reportagem, investigações posteriores expuseram o precário caráter de segurança no Banco Central de Bangladesh, usado para as transferências. Os hackers obtiveram acesso à rede interna da instituição a partir de ataques de phishing e, na sequência, obtiveram as credenciais de acesso dela à rede SWIFT e aos computadores responsáveis pela criação, aprovação e realização de novas transações. Ajudou, ainda, o fato de a organização manter um bom montante em dinheiro, justamente, no Fed de Nova York, como forma de facilitar pagamentos e transferências internacionais, além do uso de malwares que burlaram a proteção antifraude do sistema internacional.

• 6 livros para entender como é a vida sem tecnologia na Coreia do Norte

Na noite do dia 4 de fevereiro de 2016, o banco emitiu quase 40 pagamentos e transferências internacionais, somando os US$ 850 milhões citados — eram os hackers colocando o plano em prática. Para dificultar a detecção, uma impressora responsável por imprimir os registros destas transações foi comprometida e deixou de funcionar. A data não foi escolhida por acaso: era uma quinta-feira, o que faria com que a diferença no fuso horário em relação ao Ocidente e a aproximação do final de semana atrasasse ainda mais a identificação de que algo de errado estava acontecendo.

A investigação revelou que os hackers também foram capazes de embaralhar e manipular registros de transação, de forma a impedir uma detecção imediata. Entretanto, eles cometeram erros que levaram o Fed de Nova York a bloquear todas as transferências feitas para os Estados Unidos. Chamou a atenção o fato de todas elas terem como destino indivíduos ou organizações, em vez de outros bancos, como normalmente acontece em operações dessa magnitude. Erros de digitação em nomes de beneficiários eram indícios de problemas, com uma análise mais profunda revelando que a maioria deles nem mesmo existia e se tratava de contas fantasmas criadas para uso em operações desse tipo.

Em seu relatório, o Fed afirma ter informado o Rizal Bank sobre as irregularidades, mas isso não impediu o saque e a transferência dos mais de US$ 80 milhões obtidos pelos hackers, em operações realizadas entre 5 e 9 de fevereiro. Mulas foram usadas para obter montantes físicos, enquanto o processo de lavagem fez questão de tornar o restante invisível e, principalmente, irrecuperável.

As conexões norte-coreanas

A relação entre os hackers envolvidos no assalto e a Coreia do Norte veio em relatório da BAE Systems, uma empresa de defesa que colaborou com as autoridades americanas e asiáticas na investigação. Segundo o texto, o código-fonte dos malwares usados nos ataques de phishing e no comprometimento do sistema SWIFT apresenta similaridades com outros ataques já comprovadamente feitos pelo regime, como a invasão aos servidores da Sony, em 2014.

Mais do que isso, os indícios são de uma operação em escala ainda maior e com escopo internacional. A Coreia do Norte estaria trabalhando com um sistema de “freelancers”, recrutando indivíduos localizados em dezenas de países e ocultando os pagamentos a eles, enquanto os bandidos realizam as operações, escapam do escrutínio policial devido às suas nacionalidades e transferem o dinheiro roubado de volta ao regime.

• EUA acusam quatro militares chineses de hackearem empresa de crédito em 2017

Uma prova disso foi que, durante as investigações, um segundo caso semelhante foi descoberto. Os hackers também tinham acesso ao sistema SWIFT de um banco asiático não identificado, mas em fevereiro de 2016, não haviam realizado transações. Três semanas depois do roubo dos US$ 80 milhões, uma interrupção geral no funcionamento da instituição foi detectada, supostamente como forma de isolar a rede para instalação de malwares, mas o ataque não teria ido adiante.

Outros inquéritos dão uma dimensão maior ao fato de que os bancos internacionais, mais até do que governos e empresas de infraestrutura, são os verdadeiros alvos da guerra digital norte-coreana. Câmbios de Bitcoins e sistemas de recompensa são vítimas comuns, e em janeiro de 2017, uma operação contra instituições da América Latina, incluindo o Brasil, foi interrompida depois de os hackers instalarem malwares nos sistemas de um regulador financeiro polonês.

Para o governo americano, se trata de uma operação com dois objetivos claros: obter fundos para financiar o regime e, ao mesmo tempo, desestabilizar o sistema monetário internacional. É o que explica as ações combinadas e aparentemente desconectadas em diferentes países, que tem criado severas dificuldades para autoridades internacionais na caça aos criminosos. É uma batalha difícil e que as autoridades parecem estar perdendo.

Fonte: Wired