No início deste ano, dois hackers anônimos descobriram algo inusitado: ao invadirem um computador, perceberam que a máquina pertencia a ninguém menos que um hacker supostamente ligado ao governo da Coreia do Norte.
A dupla, que usa os nomes Saber e cyb0rg, decidiu investigar mais a fundo e encontrou evidências que conectam o alvo a operações de ciberespionagem do regime, incluindo ferramentas de hacking, infraestrutura usada em ataques e até indícios de roubo de criptomoedas.
Segundo Saber, eles tiveram acesso ao computador por cerca de quatro meses. Depois de entenderem o peso das informações que estavam diante deles, decidiram tornar tudo público. “Esses hackers de Estados-nação estão hackeando pelos motivos errados. Espero que mais deles sejam expostos”, disse em entrevista ao TechCrunch.
As descobertas foram publicadas no lendário e-zine de hackers Phrack, revelando detalhes inéditos sobre como funcionam alguns dos ataques patrocinados pelo governo norte-coreano.
Hackers que hackearam hackers
Empresas de cibersegurança no mundo todo já monitoram de perto as ações da Coreia do Norte, conhecidas por espionagem digital, golpes de criptomoeda e até falsificação de trabalhadores remotos de TI para financiar o programa nuclear do regime.
Mas Saber e cyb0rg foram além: eles hackearam os próprios hackers. Isso abriu uma janela rara para entender como esses grupos operam no dia a dia.
Eles pediram para serem conhecidos apenas pelos codinomes, já que temem retaliações não só da Coreia do Norte, mas também de outros governos. Apesar de reconhecerem que o que fizeram é ilegal, afirmam que divulgar as informações era mais importante. “Ao liberar tudo para o público, damos aos pesquisadores mais ferramentas para detectá-los”, disse Saber.
Quem é “Kim”?
O alvo da invasão foi apelidado de Kim. Para Saber e cyb0rg, não há dúvidas de que ele trabalha para o regime norte-coreano, mas há sinais de que também pode ter ligação com a China. Eles notaram, por exemplo, que Kim não trabalhava durante feriados chineses e que chegou a traduzir documentos coreanos para chinês simplificado usando o Google Tradutor.
Mesmo assim, Saber disse nunca ter tentado contato com ele. “Ele só fortalece líderes que escravizam seu próprio povo. Provavelmente vive sob propaganda desde o nascimento, então não adiantaria”, comentou.
Evidências de ataques em andamento
Durante a investigação, a dupla encontrou sinais de ataques ativos contra empresas da Coreia do Sul e de Taiwan. Eles afirmam ter avisado as companhias afetadas.
O histórico dos hackers norte-coreanos também mostra que eles costumam atacar especialistas em segurança cibernética. Saber sabe que está na mira, mas afirma não estar preocupado.
No fim, para eles, expor esse tipo de operação vale o risco. Como disse cyb0rg: “Ilegal ou não, essa ação trouxe artefatos concretos para a comunidade; isso é o que importa.”
