Tudo Que Você Precisa Saber Sobre o Bureau 121 - TechRobot

Tudo Que Você Precisa Saber Sobre o Bureau 121

O Bureau 121 é a principal unidade de hackers da Coreia do Norte. A elite militar de hackers trabalha sob o Bureau Geral de Reconhecimento, ou RGB, a agência de espionagem secreta da Coreia do Norte.

A crença é que as operações cibernéticas do Bureau são uma forma custo-efetiva para a Coreia do Norte manter uma opção militar assimétrica e um meio de coletar inteligência. Seus principais alvos de inteligência são a Coreia do Sul, Japão e os Estados Unidos. Além disso, a Coreia do Norte supostamente usa suas capacidades de guerra cibernética para espionagem e apoia sua propaganda.

A Unidade tem como alvo diferentes setores, incluindo fabricantes farmacêuticos, instituições de pesquisa, instituições financeiras, empresas de TI, organizações governamentais e grandes empresas de biotecnologia. Seu propósito principal é conduzir atividades destrutivas e de espionagem contra redes e sistemas alvo em todo o mundo.

O Bureau 121 possui quatro principais unidades subordinadas, o Grupo Andariel, o Grupo Bluenoroff, um Regimento de Guerra Eletrônica de Jamming e o Grupo Lazarus.

Breve História do Bureau 121

Desde a criação do Bureau 121 na década de 1980, ele se expandiu rapidamente desde 1998. Parte da unidade é às vezes conhecida como DarkSeoul Gang. Embora a Coreia do Norte permaneça um dos países mais pobres, investe muito no Bureau 121. A unidade tem uma base de membros estimada em 6.000 membros e é a única organização norte-coreana que opera fora de suas fronteiras. O Bureau 121 realiza operações para extrair dinheiro de organizações ao redor do mundo por meio de várias táticas.

A força cibernética militar da Coreia do Norte supostamente conta com entre 3.000 a 6.000 pessoal trabalhando no Bureau 121, dentro do Reconnaissance General Bureau da nação reclusa. Seus feitos mais notáveis são os ataques a bancos e veículos de mídia sul-coreanos que os tiraram do ar por vários dias em 2013.

O RGB (Reconnaissance General Bureau) é a principal agência de inteligência militar da Coreia do Norte. O Bureau 121, juntamente com o RGB, é supostamente responsável pelo ataque de ransomware WannaCry em 2017, pelo ataque cibernético à Sony Pictures Entertainment em 2014, e por numerosos cibercrimes. Estima-se que o RGB controle mais de 6.000 hackers, apoiados por mais de 1.000 membros de equipe técnica.

O RGB supostamente selecionou a dedo membros para o Bureau121 com base na aptidão para hacking e computação. As pessoas temem esse grupo de hackers em todo o mundo devido à sua capacidade de infiltrar e desabilitar organizações comerciais, instituições financeiras e sistemas militares.

O Bureau 121 é especializado em sabotagem e espionagem no exterior. Isso inclui ciberguerra, ataques físicos a pessoal chave e até mesmo chantagem contra desertores que fugiram da Coreia do Norte para o Ocidente. Para travar uma ‘guerra secreta’, o Bureau 121 atua para sabotar ou espionar inimigos de Pyongyang.

Ataques supostamente bem-sucedidos do Bureau 121 

O Bureau 121 lançou uma série de ataques, especialmente durante seus anos ativos. Supostamente, é responsável por ataques tanto no setor privado quanto no público em diferentes países.

Sony Pictures

Em novembro de 2014, um grupo de hackers atacou a Sony Pictures Entertainment. Eles ganharam entrada não autorizada na rede da empresa e hackearam informações privadas e discos rígidos das pessoas. Os hackers exigiram que a Sony retirasse o filme “A Entrevista”. O vazamento de dados teve grandes repercussões. Informações pessoais e salários, e-mails da empresa, e filmes, planos e roteiros não lançados foram hackeados. Além disso, vários filmes não lançados foram vazados online, incluindo “Fury”, “Annie” e “Mr. Turner”. A infraestrutura de computadores da Sony também foi destruída.

O FBI investigou, e o governo dos EUA apontou o dedo para a Coreia do Norte.

Além de roubar informações sensíveis do estúdio de cinema e publicá-las para consumo público, os hackers também forçaram muitos dos sistemas de computador da SPE a ficarem offline — incluindo o email.  

Durante o ataque hacker, a organização solicitou que a Sony desistisse de lançar seu filme na época, “A Entrevista” — uma comédia sobre um plano de assassinato contra o líder norte-coreano Kim Jong-un — e ameaçou realizar ataques terroristas em cinemas que exibissem o filme. Após várias grandes redes de cinemas dos EUA optarem por não exibir “A Entrevista” em resposta a essas ameaças, a Sony cancelou a estreia formal do filme e o lançamento mainstream, optando por pular diretamente para um lançamento digital disponível para download seguido por um lançamento teatral limitado no dia seguinte.

A decisão da Sony de cancelar a distribuição nos cinemas de “A Entrevista” resultou em enormes penalidades financeiras. No entanto, a reputação do estúdio de cinema já havia sofrido um grande impacto.

O governo dos EUA concluiu que o governo da Coreia do Norte estava por trás do ataque, mas nunca apresentou publicamente qualquer evidência para respaldar tais alegações. Ainda assim, empresas privadas de segurança descobriram pistas que apontam para o Bureau 121 

SWIFT Banking 

Em 2015/2016, uma série de ciberataques explorando a rede bancária SWIFT foi revelada, conseguindo roubar milhões de dólares. Foi atribuído ao governo da Coreia do Norte, e se fosse confirmado, teria sido o primeiro caso conhecido de cibercrime patrocinado por um estado.

No entanto, especialistas suspeitam que o grupo de hackers Lazarus Group (uma subsidiária do Bureau 121) seja responsável por crimes de alto perfil, como o hack da Sony Pictures, o roubo no Banco de Bangladesh e diversos outros ataques cibernéticos ao redor do mundo.

Os hackers utilizaram malware e e-mails de phishing para infiltrar-se nos sistemas bancários e sequestrar as contas de alto valor. Se a atribuição à Coreia do Norte fosse confirmada, teria sido a primeira instância de uma entidade estatal utilizando ataques cibernéticos para roubar fundos. Os hackers usaram malware sofisticado e mensagens de spear-phishing para ganhar acesso às redes bancárias. Em seguida, manipularam mensagens SWIFT para transferir fundos.

O governo da Coreia do Norte supostamente instruiu seus hackers cibernéticos a atacarem bancos em cerca de 18 países. Foi uma tentativa de arrecadar fundos para contornar as sanções internacionais.

A comunidade internacional sancionou a Coreia do Norte por seus testes de mísseis balísticos e nucleares. Isso, claro, significa que a nação eremita está cortada dos bancos internacionais. Para contornar isso, especialistas acreditam que oficiais norte-coreanos enviaram hackers para atacar bancos em cerca de 18 países. Os hackers foram instruídos a roubar o máximo de dinheiro possível por meio de fraudes para que o governo da Coreia do Norte pudesse usá-lo para financiar seus programas militares.

Os atacantes exploraram diversas vulnerabilidades nos sistemas bancários dos bancos membros. Isso permitiu que eles ganhassem controle das credenciais swift dos bancos. Os ladrões subsequentemente usaram essas credenciais para enviar pedidos de transferência de dinheiro SWIFT para outros bancos. A partir daí, eles transferiram o dinheiro para contas controladas pelos hackers, confiando na autenticidade das mensagens.

Ataque de Ransomware WannaCry

Em maio de 2017, computadores ao redor do mundo foram atacados por um ransomware conhecido como WannaCry. O ciberataque utilizou uma vulnerabilidade de software supostamente identificada pela Agência de Segurança Nacional dos EUA (NSA) e publicada pela organização hacker The Shadow Brokers um mês antes.

Os ciberatacantes criptografaram dados e exigiram pagamentos de resgate na criptomoeda Bitcoin. O ciberataque do ransomware WannaCry foi um grande “alerta” digital que visou computadores e redes que operavam no sistema operacional Windows. Além disso, o malware se aproveitou de sistemas mais antigos que ainda executavam um exploit desenvolvido pela NSA dos Estados Unidos, o qual The Shadow Brokers havia roubado e vazado.

O ransomware se espalhou pelo mundo, infiltrando-se em computadores com sistemas operacionais Windows mais antigos e criptografando arquivos. Ele causou estragos em hospitais no Reino Unido, na FedEx nos EUA e em muitas outras vítimas globalmente. Muitos usuários perderam acesso aos seus arquivos durante esses ataques e só conseguiram recuperar o acesso após pagar o resgate em bitcoin.

No entanto, muitos dos patches já estavam disponíveis seis meses antes do ataque. Até meados de 2024, todas as versões suportadas corrigiram as vulnerabilidades. Ainda assim, continuava sendo uma ameaça para aqueles que utilizavam sistemas sem atualizações ou não suportados, como o Windows XP. Isso sugere que houve uma falta de “engenharia reversa” para inspecionar o malware desconhecido, analisando seus decodificadores e investigando seus códigos maliciosos após a descoberta inicial.

O ataque começou em maio de 2017 e não foi um acontecimento isolado. Ele infectou mais de 230.000 computadores em mais de 150 países, com perdas de mais de $4 bilhões apenas no seu primeiro dia. Procuradores federais dos Estados Unidos afirmaram que a Coreia do Norte estava por trás do ataque já no dia seguinte.

Ataque na Coreia do Sul 

Em torno de 20 de março de 2013, um suposto ataque cibernético norte-coreano fez com que três emissoras de televisão sul-coreanas e um banco perdessem seus terminais de computador em um suposto ato de ciberguerra.

Cerca de 19.000 computadores e servidores de grandes emissoras e bancos sul-coreanos foram afetados. 

KBS, MBC e YTN exibiram uma tela em branco por cerca de 15 minutos. Os bancos—Shinhan, Nonghyup e Jeju Bank—também ficaram impossibilitados de operar após o ataque comprometer gravemente suas redes de computadores. Além disso, muitos caixas eletrônicos ficaram fora de serviço, servindo como um lembrete de que infraestruturas críticas como sistemas bancários são suscetíveis a ataques cibernéticos.

Todas as organizações afetadas estavam conectadas a uma rede comum, o que implica que os hackers provavelmente visaram uma fraqueza nessa rede. Os atacantes aparentemente se concentraram em apagar arquivos ao invés de exigir um resgate. Atualmente, não está claro como o grupo realizou isso ou quem estava por trás. Os ataques ocorreram por volta das 20h do dia 20 de março e foram controlados após 17 horas.

Códigos maliciosos foram liberados nos computadores dos usuários através de vulnerabilidades de navegador ou página web. O código era ativado apenas quando certos sites eram acessados. Ele realizava o ataque deletando arquivos nos discos rígidos.

Os discos rígidos de computadores de grandes emissoras e bancos na Coreia do Sul foram sistematicamente apagados, afetando 32.000 computadores. Os atacantes deletaram os arquivos mais críticos de três emissoras, KBS, MBC e YTN. Também afetou dois bancos — Shinhan Bank e Jeju Bank. Acredita-se que o ataque tenha sido patrocinado por um estado, utilizando várias cepas de malware diferentes. Embora a Coreia do Norte tenha sido amplamente suspeita como a agressora, nenhuma determinação oficial foi feita.

Conclusão

O Bureau 121 é uma organização secreta norte-coreana composta por hackers especialistas. Eles têm sido acusados de hackear bancos internacionais e diversas empresas nos últimos anos. O Bureau 121 busca prodígios tradicionais. O grupo recruta principalmente jovens e os treina para se tornarem hackers excepcionais. Eles os enviam pelo mundo afora para causar estragos em seus inimigos.