A campanha de infiltração de seis meses da Coreia do Norte em Drift abalou uma indústria criptográfica que já se recuperava de explorações de bilhões de dólares.
Mas à medida que a notícia se instalava, uma questão maior entrou em foco: por que a Coreia do Norte continua voltando à criptografia e por que sua abordagem parece tão diferente de qualquer outra operação de hackers apoiada pelo Estado no planeta?
A resposta curta, de acordo com especialistas em segurança, é que a criptografia ajuda a dar ao regime um fluxo de receitas e a mantê-lo à tona.
“A Coreia do Norte não pode se dar ao luxo da paciência”, disse Dave Schwed, diretor de operações da SVRN e fundador do programa de mestrado em segurança cibernética da Universidade Yeshiva. “Eles estão sob sanções internacionais abrangentes e precisam de moeda forte para financiar programas de armas. A ONU e várias agências de inteligência confirmaram que o roubo de criptografia é o principal mecanismo de financiamento para o desenvolvimento de mísseis nucleares e balísticos.”
Essa urgência explica uma dinâmica que há muito intriga os investigadores: por que os hackers norte-coreanos realizam assaltos rastreáveis e em larga escala em blockchains públicos, em vez de usarem discretamente a criptografia para escapar de sanções, como fazem outros atores estatais.
A resposta, argumenta Schwed, é estrutural. A Rússia ainda tem uma economia: petróleo, gás, exportações de mercadorias e parceiros comerciais dispostos a utilizar soluções alternativas. Ele precisa da criptografia como forma de pagamento, mas não para muito mais. O Irão também tem mercadorias para transportar – petróleo sancionado, redes de financiamento por procuração, intermediários voluntários em todo o Médio Oriente. A Coreia do Norte não tem quase nada para vender.
“As suas exportações são quase inteiramente sancionadas. Eles não têm uma economia funcional que precise de meios de pagamento. Eles precisam de receitas diretas”, disse Schwed. “O roubo de criptografia lhes dá acesso imediato a valor líquido, globalmente, sem a necessidade de uma contraparte disposta a fazer negócios com eles.”
Essa distinção – criptografia como infraestrutura versus criptografia como alvo – é o que separa a Coreia do Norte não apenas da Rússia, mas também do Irão. Enquanto a Rússia encaminha dinheiro através de criptografia para contornar sanções, e o Irão o utiliza para financiar redes proxy em todo o Médio Oriente, a Coreia do Norte está a conduzir algo mais próximo de uma operação de assalto patrocinada pelo Estado.
“Seus alvos são exchanges, provedores de carteiras, protocolos DeFi e engenheiros e fundadores individuais que possuem autoridade de assinatura ou acesso à infraestrutura”, disse Alexander Urbelis, diretor de segurança da informação do ENS Labs e professor de segurança cibernética no King’s College London. “A vítima é quem detém as chaves ou o acesso à infraestrutura que detém as chaves.”
A Rússia e o Irão, em comparação, tratam a criptografia como incidental, um meio para fins geopolíticos mais amplos.
“A Rússia tem como alvo eleições, infra-estruturas energéticas e sistemas governamentais. O Irão persegue dissidentes e adversários regionais”, disse Urbelis. “Quando qualquer um deles toca na criptografia, é para movimentar dinheiro, não para roubá-lo do ecossistema.”
Esse foco singular levou os agentes norte-coreanos a adotar táticas mais comumente associadas às agências de inteligência do que aos hackers criminosos: construção de relacionamentos que duram meses, identidades fabricadas e infiltração na cadeia de abastecimento.
A campanha Drift é apenas o exemplo mais recente.
“Você não está se defendendo contra um e-mail de phishing enviado por um golpista aleatório”, disse Urbelis. “Você está se defendendo de alguém que passou seis meses construindo um relacionamento especificamente para comprometer uma pessoa que tem o acesso que você precisa proteger”.
A própria arquitetura da Crypto torna-a um terreno de caça excepcionalmente atraente. Nas finanças tradicionais, mesmo hacks bem-sucedidos enfrentam atritos na forma de verificações de conformidade, cheques bancários correspondentes, atrasos na liquidação e a possibilidade de reverter transferências fraudulentas. Quando os hackers da Coreia do Norte realizaram o assalto ao banco do Bangladesh em 2016, o roubo demorou dias a ser processado e a maior parte dos fundos acabou por ser recuperada ou bloqueada. Na criptografia, nenhuma dessas salvaguardas existe no nível do protocolo.
“Assim que a transação for assinada e confirmada, ela será definitiva”, disse Urbelis. A exploração do Bybit no início do ano passado movimentou US$ 1,5 bilhão em aproximadamente 30 minutos, um ritmo e escala que seriam quase impossíveis no sistema bancário tradicional.
Essa finalidade muda fundamentalmente o cálculo de segurança. No sector bancário, pode ser construída uma defesa razoável através da prevenção, detecção e resposta, porque há sempre uma janela para congelar fundos ou reverter uma transferência. Na criptografia, essa janela quase não existe, o que significa que interromper um ataque antes que ele aconteça não é apenas preferível – é essencialmente a única opção.
E embora os bancos operem sob décadas de orientação regulatória e requisitos de auditoria, muitos projetos de criptomoedas ainda estão improvisando – muitas vezes priorizando a velocidade e a inovação em detrimento da governança e dos controles.
Essa lacuna cria um ambiente onde até equipas sofisticadas podem ser vulneráveis, particularmente ao tipo de tácticas de infiltração de longo prazo que a Coreia do Norte tem vindo a aperfeiçoar.
“Este é o problema de segurança operacional mais difícil em criptografia no momento”, disse Urbelis sobre o desafio de verificar identidades falsas sofisticadas e intermediários terceirizados. “Não acho que a indústria tenha resolvido isso.”
Leia mais: Como o programa de espionagem secreta de 6 meses da Coreia do Norte fez a comunidade criptográfica repensar a segurança
Fontecoindesk
