Para os hackers de Pyongyang, o roubo é a parte fácil. Na verdade, colocar as mãos no dinheiro é uma história diferente.
Por Patrick Howell O’Neill MIT Technology Review(Tradução Evandro Milet)
10 de Setembro 2020
Durante anos, a dinastia Kim da Coréia do Norte ganhou dinheiro por meio de esquemas criminosos como tráfico de drogas e falsificação de dinheiro. Na última década, Pyongyang se voltou cada vez mais para o crime cibernético – usando exércitos de hackers para conduzir roubos de bilhões de dólares contra bancos e bolsas de criptomoedas, como um ataque em 2018 que rendeu US $ 250 milhões de uma só vez.
As Nações Unidas afirmam que essas ações geram grandes somas que o regime usa para desenvolver armas nucleares que podem garantir sua sobrevivência a longo prazo. Mas há uma grande diferença entre hackear uma bolsa de criptomoeda e realmente colocar as mãos em todo o dinheiro. Fazer isso requer mover a criptomoeda roubada, lavá-la para que ninguém possa rastreá-la e trocá-la por dólares, euros ou yuans que podem comprar armas, luxos e necessidades que nem mesmo os bitcoins podem. “Eu diria que a lavagem é mais sofisticada do que os próprios hacks”, disse Christopher Janczewski, um dos principais agentes do IRS (Receita Federal americana) especializado em criptomoedas.
Janczewski vê muita ação atualmente. Ele conduziu investigações sobre o recente hack que afetou usuários verificados do Twitter e sobre as atividades financiadas por Bitcoin do maior site da darknet para imagens de abuso sexual infantil. Janczewski foi mais recentemente o investigador principal em um caso para rastrear e apreender US$ 250 milhões em criptomoedas de uma série sem precedentes de hacks multimilionários supostamente executados pela equipe de hackers norte-coreana conhecida como Lazarus Group.
E, diz ele, as táticas de Lazarus estão em constante evolução.
Lavando dinheiro sujo
Depois que Lazarus hackeou com sucesso um alvo e assumiu o controle do dinheiro, o grupo tenta encobrir seu rastro para despistar os investigadores. Essas táticas geralmente envolvem mover moedas para carteiras e moedas diferentes – por exemplo, mudar de éter para Bitcoin.
O chamado grupo Lazarus usou esquemas elaborados de phishing e ferramentas de ponta para lavagem de dinheiro para roubar dinheiro para o regime de Kim Jong-un.Mas o método norte-coreano evoluiu nos últimos anos. Uma tática, conhecida como “cadeia de casca”(peel chain), move dinheiro em transações rápidas e automatizadas de uma carteira Bitcoin para novos endereços por meio de centenas ou milhares de transações de uma forma que esconde a fonte do dinheiro e diminui o risco de acender luzes vermelhas.
Outra abordagem, chamada de “salto em cadeia”, move o dinheiro através de diferentes criptomoedas e blockchains para retirá-lo do Bitcoin – onde cada transação é lançada em um livro razão público – e para outras moedas mais privadas. A ideia é esfriar a trilha ou, melhor ainda, dar falsos alarmes aos investigadores.
A operação de lavagem do Lazarus, diz Janczewski, envolve a criação e manutenção de centenas de contas e identidades falsas, um nível consistente de sofisticação e esforço que destaca a importância da operação para Pyongyang. É extremamente difícil citar um valor preciso, mas os especialistas estimam que a Coréia do Norte depende de atividades criminosas para até 15% de sua receita, com uma parte significativa disso impulsionada por ataques cibernéticos.
Uma corrida armamentista silenciosa
Roubar criptomoedas está longe de ser o crime perfeito. A polícia e os reguladores antes eram quase sem noção, mas agora eles têm anos de experiência em investigação de criptomoedas. Além disso, estão ganhando níveis cada vez maiores de cooperação com as bolsas, que enfrentam pressões do governo e desejam maior legitimidade.
Os investigadores deixaram de estar permanentemente na defensiva e passaram a ser mais proativos, com o resultado de que muitas bolsas responderam com novas regras e controles que simplesmente não existiam antes. As ferramentas de vigilância do blockchain são poderosas e cada vez mais difundidas, provando que a criptomoeda não é tão anônima quanto o mito popular pode dizer. Acontece que o estado ainda tem muito poder, mesmo neste mundo cypherpunk¹.
Não importa quantas cascas um hacker possa jogar sobre a criptomoeda roubada, o esforço geralmente se depara com um fato inegável: se você estiver tentando trocar uma grande quantidade de criptomoeda por dólares americanos, quase inevitavelmente terá que trazer tudo de volta para Bitcoin. Nenhuma outra criptomoeda é tão amplamente aceita ou tão facilmente convertida em dinheiro. Embora novas moedas e tecnologias de privacidade tenham surgido há anos, o Bitcoin e seu livro-razão público permanecem “a espinha dorsal da economia da criptomoeda”, diz Janczewski.
Isso significa que o destino final da moeda costuma ser um operador de balcão – uma operação sob medida em um país como a China, que pode transformar moedas em dinheiro, às vezes sem amarras. Esses negociantes costumam ignorar os requisitos legais, como as leis do tipo conheça seu cliente, que tornam as bolsas de criptomoedas maiores em lugares arriscados para a lavagem de bilhões roubados.
“O que costumávamos ver eram apenas transações de Bitcoin entre um roubo e o movimento em direção a negociantes de balcão que permitem que Lazarus saia do Bitcoin. Isso é relativamente simples ”, diz Jonathan Levin, fundador da empresa de investigação de criptomoedas Chainalysis. “Agora, há muito mais moedas envolvidas. Eles são capazes de se mover através de moedas obscuras, mas eventualmente terminam no mesmo lugar, qual seja movendo de volta para o Bitcoin e através do mercado de balcão”.
As operações de balcão são a forma preferida do Lazarus movimentar milhões de Bitcoins em dinheiro.
E o negócio é enorme: os 100 maiores negociantes de balcão envolvidos em lavagem de dinheiro recebem centenas de milhões de dólares em Bitcoins todos os meses, representando cerca de 1% de toda a atividade de Bitcoins.
A atividade ilegal movida a bitcoin não é responsável pela maior parte do uso de blockchains, mas permanece significativa e continua a crescer, de acordo com Chainalysis.
O ransomware², por exemplo, é um negócio de bilhões de dólares possibilitado pela criptomoeda, enquanto os mercados anônimos de darknet movimentaram mais de US$ 600 milhões em Bitcoin em 2019.
“Há uma sofisticação maior do que vimos no passado”, diz Levin. “Algumas dessas ações foram bem-sucedidas, mas com os EUA cada vez mais agindo e respondendo a pedidos de congelamento de fundos e confisco de ativos, essas técnicas podem não ser tão eficazes no futuro.”
¹O termo cypherpunk é um trocadilho com as palavras cypher, referente à criptografia, e cyberpunk, nome da subcultura underground aliada às tecnologias de informação e cibernética, conhecida também pela sua resistência ao “establishment” e ao “mainstream”.
²Ransomware é um software malicioso que infecta seu computador e exibe mensagens exigindo o pagamento de uma taxa para fazer o sistema voltar a funcionar. Essa classe de malware é um esquema de lucro criminoso, que pode ser instalado por meio de links enganosos em uma mensagem de e-mail, mensagens instantâneas ou sites.
Se você tiver interesse e ainda não estiver inscrito para receber diariamente as postagens de O Novo Normal basta clicar no link:
https://chat.whatsapp.com/JaVtzzDfTqBFO2KO7EjX4b para WhatsApp ou
https://t.me/joinchat/SS-ZohzFUUv10nopMVTs-w para Telegram
Este é um grupo de WhatsApp restrito para postagens diárias de Evandro Milet.
Além dos artigos neste blog, outros artigos de Evandro Milet com outras temáticas, publicados nos fins de semana em A Gazeta, encontram-se em http://evandromilet.com.br/
O novo normal 