Como um roubo de criptografia norte-coreano elaborado se separou


No final de 2018, a Coréia do Norte realizou um assalto. Os hackers que atuam em nome do estado secreto se infiltraram e extraíram mais de US $ 250 milhões (195 milhões de libras) em criptomoeda. O local onde o roubo ocorreu é um mistério, mas o esquema elaborado que os hackers usavam para mover os fundos de volta à Coréia do Norte começou a desvendar.

Wired UK

Esta história apareceu originalmente no WIRED UK.

No centro do assalto havia dois cidadãos chineses – Tian Yinyin e Li Jiadong. A dupla foi indiciada pelo governo dos EUA, após uma investigação do FBI, da Segurança Interna e da Receita Federal, por seu suposto papel no comportamento criminoso. É improvável que eles sejam levados aos tribunais – eles não serão extraditados, visitarão livremente uma nação que os extradite ou visitarão a América -, mas as acusações são as mais recentes em esforços das agências policiais e de inteligência para envergonhar publicamente hostis nações por seu comportamento on-line.

A dupla é acusada de executar um esquema elaborado de lavagem de dinheiro envolvendo mais de US $ 100 milhões em criptomoedas entre centenas de contas, deixando um rastro de interrupção. O esquema usou a infraestrutura norte-coreana para comprar 8.823 cartões-presente da Apple iTunes por US $ 1.448.694, criou identidades falsas e construiu uma sofisticada rede de transações.

O governo dos EUA acusou o par de conspiração para lavar dinheiro e por operar um negócio de transmissão de dinheiro sem licença. Também divulgou detalhes (PDF) de como o ataque de US $ 250 milhões foi conduzido. O hack de troca de criptografia é um dos quatro que foram atribuídos aos atores norte-coreanos, mais recentemente pelas Nações Unidas. Um deles, Youbit, entrou com pedido de falência após o hack.

E tudo começou com malware. Em meados de 2018, um funcionário da bolsa de criptomoedas invadida estava enviando um e-mail a um cliente em potencial. Durante essa troca, eles baixaram malware que se ligava à infraestrutura da bolsa, permitindo acesso remoto à bolsa e às chaves privadas que controlam as carteiras criptográficas. O resultado foi um caos – cerca de US $ 250 milhões foram desviados da bolsa. Os documentos judiciais dos EUA declaram que 10.777,94 bitcoins, conhecidos como BTC, foram removidos (cerca de US $ 94 milhões), 218.790 Ethereum, ETH, equivalentes a US $ 131 milhões e várias somas de outras cinco criptomoedas. Estes incluíram Dogecoin, Ripple, Litecoin e Ethereum Classic.

Enquanto isso, na Coréia do Norte, um co-conspirador procurou informações sobre a troca de criptografia hackeada. De acordo com documentos do tribunal, eles pesquisaram “hackers”, “extensão de hackers do Gmail”, “como conduzir campanhas de phishing” e, talvez crucialmente, “como trocar grandes quantidades de ETH por BTC”. Os documentos afirmam que “co-conspiradores norte-coreanos” que se acredita estarem envolvidos no hackeamento da troca de criptografia também pesquisaram a relação entre os militares norte-americanos e norte-coreanos e Kim Jong Un.

Embora o movimento da criptomoeda seja relativamente anônimo – as agências policiais usam empresas de terceiros que analisam padrões de comportamento em um esforço para identificar indivíduos – a movimentação de 10.000 bitcoin ou centenas de milhares de outras criptomoedas deixa um recorde. O blockchain, crucialmente, se lembra de tudo. Em um esforço para esconder sua atividade, os EUA alegam que os conspiradores norte-coreanos usavam correntes de casca.

O método é simples em teoria, mas complexo em teoria. Envolve uma conta com uma grande quantidade de criptomoeda que transfere uma pequena quantia para outra conta. O processo é repetido até que a criptografia tenha sido movida por centenas de contas potencialmente e tornada mais difícil de rastrear. “Para ofuscar a trilha do BTC e diminuir o escrutínio, os co-conspiradores norte-coreanos se envolveram em centenas de transações automatizadas com novos endereços do BTC como” correntes descascadas “para quatro trocas diferentes”, afirma o governo dos EUA.

Em outro esforço para mascarar a atividade, os conspiradores norte-coreanos também gastaram a criptografia roubada na criação de uma nova empresa. Eles compraram 12 meses de serviços de e-mail comercial para o domínio e a empresa Celas LLC, que ofereciam um software de negociação de criptografia para download. No entanto, quando as empresas de segurança cibernética inspecionaram os arquivos em 2018, encontraram uma história diferente: ela continha malware, que acumulava informações pessoais. Eles enviaram milhares de e-mails de phishing tentando induzir as pessoas a baixar o software.



Fonte

Leave a Reply

Your email address will not be published. Required fields are marked *