La Corea del Nord, il paese più chiuso del mondo, è associato ai test nucleari, meno alla minaccia digitale ma è già all’attacco [Nicolas Rocca]
Il paese più chiuso del mondo è inevitabilmente associato ai suoi test nucleari. Meno con la minaccia digitale. Tuttavia, mentre l’uso di queste armi di distruzione di massa è ancora allo stadio di ricatto, i cyber-soldati del regime di Kim sono già all’attacco. Un altro modo per diventare un paese che conta.
Seul, Corea del Sud – Nel maggio 2017, un attacco ransomware chiamato WannaCry ha infettato i computer in Spagna prima di diffondersi rapidamente nel Regno Unito e in tutto il mondo. In tutto, un messaggio che chiede 300 dollari in bitcoin in cambio dei file memorizzati sul computer appare su quasi 300.000 dispositivi.
Vodafone, FedEx, Renault, il National Health Service (il sistema sanitario britannico) o Deutsche Bahn (la compagnia ferroviaria pubblica tedesca): la lista delle vittime è colossale. Questo hacking, descritto da Europol come un attacco “di un livello senza precedenti”, non è mai stato ufficialmente attribuito alla Corea del Nord.
Ma molti analisti informatici indicano un gruppo di hacker di Pyongyang, Lazarus, quando si tratta di trovare un colpevole. È il caso di Simon Choï, creatore della ONG Issue Makers Lab, per il quale questa offensiva online ha “l’impronta della Corea del Nord”.
La tempistica dell’attacco, pochi mesi dopo le nuove sanzioni del Consiglio di Sicurezza dell’ONU contro Pyongyang, lo convince che si tratta di una risposta del regime, il cui scopo è quello di mostrare la sua capacità di colpire e quindi di intimidire a un costo inferiore.
Negli ultimi 13 anni, Simon Choi, un uomo magro con occhiali tondi, e i suoi colleghi hanno monitorato le attività dei nordcoreani online. “Se devo confrontare la minaccia delle armi nucleari con quella degli hacker, penso che questi ragazzi siano i più pericolosi.
Questi attacchi online sono reali, mentre il costo diplomatico ed economico dell’uso di armi nucleari sarebbe colossale per il regime. La serie di test nucleari dal 2016 al 2017 ha portato a sanzioni economiche che da allora hanno isolato e indebolito finanziariamente il paese.
Gli attacchi online, d’altra parte, non hanno finora suscitato alcuna risposta, e il regime non si tira indietro dall’andare all’offensiva. Seongsu Park, un ricercatore di sicurezza informatica presso la società di protezione antivirus Kaspersky, ritiene che “tenendo conto dei casi di attacco, degli sviluppi tecnologici e del cambiamento di strategia, Lazarus è il gruppo di hacker più attivo dell’anno”.
Questo aumento degli attacchi online nordcoreani è difficile da quantificare, poiché è sempre difficile attribuire pubblicamente la responsabilità dell’attacco a uno stato. Ma gli hacker targati Pyongyang hanno le loro caratteristiche.
“Non sono i migliori del mondo, ma sanno cosa vogliono, sono molto funzionali e soprattutto determinati”, dice Simon Choï, che si descrive come un contro-hacker che ha già collaborato con i servizi segreti sudcoreani.Se devono, manderanno email a un bersaglio ogni giorno per anni fino a quando non cliccherà sul link”.
Questa analisi è condivisa da Jenny Jun, autrice di una tesi di laurea della Columbia sulla sicurezza informatica e autrice di numerosi testi sui cyberattacchi dal nord del 38° parallelo. “Sono persistenti, organizzati e le loro capacità si sono evolute considerevolmente nell’ultimo decennio”. Anche gli obiettivi si sono evoluti, sia in termini di possibilità tecniche che di esigenze del regime.
Valute, vaccini e intelligence
“Nel 2015, c’è stato uno sviluppo notevole. Hanno iniziato ad essere estremamente attivi nei crimini informatici”, dice Jenny Jun. Stanno usando tutta la scala delle possibilità. In un anno hanno rubato più di 300 milioni di dollari, secondo l’ONU. In confronto, l’intera esportazione di carbone del paese ammonta a 400 milioni di dollari. Eppure il carburante è la merce più scambiata del paese. Questo dimostra quanto sia importante il furto di valuta online per il modello economico nordcoreano.
Nel 2016, mentre le sanzioni internazionali isolavano sempre più il regime, i soldati online dei Kim hanno tentato il colpo del secolo. L’obiettivo: la Banca Centrale del Bangladesh, o piuttosto i suoi miliardi di dollari depositati nella Federal Reserve degli Stati Uniti. La banca centrale viene infiltrata e, giocando sulla differenza di orario tra Washington e Dhaka, gli hacker falsificano i codici SWIFT (che permettono di trasmettere ordini di trasferimento tra banche) e inviano con successo 81 milioni di dollari ad associazioni nelle Filippine, dove il denaro verrà riciclato.
Il resto degli ordini di trasferimento sono bloccati dalle autorità bancarie statunitensi. La trovata rimane un successo per gli uomini di Kim, che hanno dimostrato le loro impressionanti capacità. Da allora, i gruppi di hacker si sono concentrati sulle valute digitali (o criptovalute), un crimine che è praticamente irrintracciabile, semplice ed efficace.
Prendono di mira i portafogli di valuta digitale di privati, come te e me, usando la tecnica dello spear fishing”, descrive Ben Read, direttore dell’analisi della sicurezza informatica di Mandiant Fire Eye. Poi trovano le criptovalute nel portafoglio dell’utente e le liquidano. A febbraio, tre hacker nordcoreani sono stati arrestati negli Stati Uniti, accusati di aver rubato l’equivalente di 1,3 miliardi di dollari in criptovalute.
“Da 1.200 a 1.300 persone molto attive”
Questi hacker sono la mano armata del regime ma soprattutto soddisfano i suoi bisogni. Nella loro infanzia, le offensive digitali erano volte a difendere pubblicamente il regime attaccando direttamente i suoi nemici. Ne sono testimoni i tentativi diretti contro la Casa Bianca, la presidenza sudcoreana o gli studi Sony Pictures, colpevoli, secondo Pyongyang, di aver prodotto un film che metteva in scena l’assassinio di Kim Jong-un nel 2014.
Questo uso “ideologico” dell’esercito di hacker sembra essere diminuito nel tempo. Dall’inizio della crisi sanitaria, ha preso di mira i laboratori che lavorano sul vaccino, l’anglo-svedese AstraZeneca, la sudcoreana Celltrion e, secondo la Reuters, Pfizer.
Ma questa forza d’urto digitale permette anche di conoscere le innovazioni esterne. Lo dimostrano le offensive contro l’industria delle armi nell’Europa dell’Est, contro i laboratori farmaceutici, o anche l’attacco a una centrale nucleare indiana nel 2019.
Gli obiettivi sono molteplici per questi hacker nordcoreani organizzati in diversi gruppi. Simon Choï è riuscito ad elaborare un modello della loro organizzazione. “Siamo una ONG e le nostre risorse sono limitate, ma i servizi di intelligence hanno identificato sei gruppi distinti, con 1.200-1.300 persone molto attive, e 5.000 in appoggio”. Si ritiene che l’apparato di cyberattacchi sia diviso tra almeno tre entità statali conosciute.
Il General Reconnaissance Bureau – il servizio di intelligence nordcoreano – si dice che supervisiona i due gruppi più grandi, che vanno sotto gli acronimi RGB3 e RGB5, rispettivamente Lazarus e Kimsuky, i più attivi e meglio conosciuti dagli specialisti del settore.
Il primo gruppo si dice abbia dei server a Pyongyang ed è responsabile dei misfatti più noti (Bangladesh Central Bank, Sony Studios, WannaCry, ecc.). È abile a fare grandi colpi e ad attaccare le grandi organizzazioni.
Da parte loro, si dice che gli hacker di Kimsuky abbiano preso la residenza nelle città di confine cinesi. Da Dalian, Dandong o Shenyang, sono meno visibili, perché si rivolgono ai privati per accedere alle risorse istituzionali. I loro recenti tentativi si sono concentrati su Celltrion, la società farmaceutica sudcoreana, o Novavax e AstraZeneca.
Altri gruppi operano sotto l’egida del Ministero della Difesa (Ministero delle Forze Armate del Popolo), le cui impronte digitali Shoi ha rilevato nell’hacking del 2019 della centrale nucleare indiana.
Infine, si dice che il ministero della sicurezza dello Stato si concentri principalmente sul suo vicino meridionale. “È molto difficile individuare esattamente dove stanno operando, ci sono molte possibilità”, dice Ben Read, direttore dell’analisi della sicurezza informatica di Mandiant Fire Eye. Tuttavia, possiamo identificarli con un grado di certezza abbastanza elevato. Bisogna guardare in quale fascia oraria hanno operato, quale lingua hanno usato, quali metodi…”
Si potrebbe pensare che questa intensa attività degli hacker nordcoreani esporrebbe il loro paese a ritorsioni online. Ma è qui che l’isolamento e l’arretratezza economica della Corea del Nord diventano paradossalmente delle risorse. Con poco più di 1.000 indirizzi IP ogni 25 milioni di abitanti, la Corea del Nord sembra meno vulnerabile agli attacchi hacker rispetto ai suoi nemici.
Infatti, se meno persone sono connesse a Internet, allora ci sono anche meno vulnerabilità che tra i nemici del regime. In gran parte basata su intranet, chiamata “Kwangmyong”, letteralmente “luce splendente”, la rete del paese è “molto difficile da penetrare”, dice Simon Choï, “ma una volta entrato, penso che siano molto vulnerabili”. Tuttavia, ha rifiutato di commentare ufficialmente un possibile tentativo da parte sua.