Por anos, o governo da Coreia do Norte encontrou uma fonte crescente de receita que evadia sanções, encarregando seus cidadãos de se candidatar secretamente a empregos remotos de tecnologia no Ocidente. Uma operação de desmantelamento recentemente revelada pela lei americana deixa claro o quanto da infraestrutura usada para realizar esses esquemas estava baseada nos Estados Unidos — e quantas identidades de americanos foram roubadas pelos impersonadores norte-coreanos para realizá-los.
Na segunda-feira, o Departamento de Justiça anunciou uma operação abrangente para reprimir elementos baseados nos Estados Unidos do esquema de trabalhadores de TI remotos da Coreia do Norte, incluindo indiciamentos contra dois americanos que o governo afirma estarem envolvidos nas operações — um dos quais foi preso pelo FBI. As autoridades também fizeram buscas em 29 “fazendas de laptop” em 16 estados, alegadamente usadas para receber e hospedar os PCs que os trabalhadores norte-coreanos acessam remotamente, e apreenderam cerca de 200 desses computadores, bem como 21 domínios da web e 29 contas financeiras que haviam recebido a receita gerada pela operação. O anúncio do DOJ e os indiciamentos também revelam como os norte-coreanos não apenas criaram IDs falsas para se insinuar nas empresas de tecnologia ocidentais, mas, segundo as autoridades, supostamente roubaram as identidades de “mais de 80 pessoas dos EUA” para se passar por elas em empregos em mais de cem empresas dos EUA e desviar dinheiro para o regime de Kim.
“É enorme”, diz Michael Barnhart, um investigador focado em hacking e espionagem da Coreia do Norte na DTEX, uma empresa de segurança focada em ameaças internas. “Sempre que você tem uma fazenda de laptop como esta, essa é a parte frágil dessas operações. Fechar isso em tantos estados é massivo.”
No total, o DOJ afirma que identificou seis americanos que acredita estarem envolvidos em um esquema para possibilitar os impersonadores de trabalhadores de TI norte-coreanos, embora apenas dois tenham sido nomeados e acusados criminalmente — Kejia Wang e Zhenxing Wang, ambos baseados em Nova Jersey — e apenas Zhenxing Wang foi preso. Os promotores acusam os dois homens de ajudarem a roubar as identidades de dezenas de americanos para que os norte-coreanos assumissem, recebendo laptops enviados a eles por seus empregadores, configurando acesso remoto para que os norte-coreanos controlassem essas máquinas de todo o mundo — frequentemente habilitando esse acesso remoto usando um dispositivo de hardware chamado “switch de teclado-vídeo-mouse” ou KVM — e criando empresas de fachada e contas bancárias que permitiram ao governo norte-coreano receber os salários que supostamente ganhavam. O DOJ afirma que os dois homens americanos também trabalharam com seis co-conspiradores chineses nomeados, de acordo com os documentos de acusação, assim como dois cidadãos taiwaneses.
Para criar as identidades de cobertura para os trabalhadores norte-coreanos, os promotores afirmam que os dois Wangs acessaram os detalhes pessoais de mais de 700 americanos em buscas de registros privados. Mas para os indivíduos que os norte-coreanos impersonaram, eles alegadamente foram muito mais longe, usando cópias das carteiras de motorista e cartões de Seguro Social das vítimas de roubo de identidade para permitir que os norte-coreanos se candidatem a empregos em seus nomes, de acordo com o DOJ.
Não está claro nos documentos de acusação exatamente como esses documentos pessoais foram supostamente obtidos. Mas Barnhart, da DTEX, diz que operações de impersonação norte-coreanas geralmente obtêm documentos identificativos de americanos em fóruns cibernéticos do lado negro ou sites de vazamento de dados. De fato, ele diz que as mais de 80 identidades roubadas citadas pelo DOJ representam uma amostra pequena de milhares de IDs dos EUA que ele já viu sendo coletadas, em alguns casos, da infraestrutura das operações de hacking da Coreia do Norte.
“Eles têm um estoque dessas”, diz Barnhart. “Qualquer lugar onde um criminoso vai conseguir um ID, eles vão apenas aproveitar, porque assim eles nem precisam realizar a violação. Já está lá fora.” Barnhart diz que viu impersonadores norte-coreanos ir tão longe a ponto de examinar suas identidades roubadas para antecedentes criminais e até escolher se passar por americanos que estão baseados em estados sem imposto de renda para maximizar seus ganhos.
Distinto das acusações do DOJ contra Kejia Wang e Zhenxing Wang, os promotores também anunciaram que o FBI havia realizado buscas em 21 outras fazendas de laptop suspeitas em 14 estados dos EUA e apreendeu aproximadamente 137 PCs que os promotores afirmam ter sido usados em esquemas de trabalhadores remotos da Coreia do Norte. Em dois outros casos, os promotores dizem que os norte-coreanos usaram o acesso interno que ganharam ao se passar por trabalhadores de tecnologia ocidentais em empresas de cripto para roubar mais de US$ 900.000 em fundos, incluindo cerca de US$ 740.000 roubados de uma empresa com sede em Atlanta.
Embora as batidas, indiciamentos e prisões realizadas pelo DOJ e FBI sejam significativas, diz Barnhart, da DTEX, elas estão longe do fim das tentativas da Coreia do Norte de infiltrar empresas ocidentais e, especificamente, empresas dos EUA, tanto para lucro quanto para espionagem. Afinal, apenas um suspeito, entre os indivíduos que o DOJ nomeou, está sob custódia — e incontáveis outros norte-coreanos envolvidos nesses tipos de esquemas permanecem intocados dentro das fronteiras do regime e nas regiões vizinhas da China onde operam.
“Isso vai causar um grande impacto no que eles estão fazendo”, diz Barnhart. “Mas à medida que nos adaptamos, eles também se adaptam.