Dietro le incursioni più ardite degli ultimi tempi ci sarebbero i cyber soldati di Pyongyang, ai quali già il Caro Leader chiedeva di fare cassa all’estero. Ma con Kim Jong-un il teatro delle operazioni si è esteso. E oltre a spiare, ora gli hacker potrebbero colpire su vasta scala
Secondo molti esperti informatici dietro i più grandi attacchi sferrati negli ultimi anni, ci sarebbero i nordcoreani, a testimoniare una preparazione e una “potenza di fuoco” di molto migliorata nel corso del tempo.
L’impulso informatico di Kim Jong-il
Il primo grande contributo alle attività di intrusione, duplicazione di software e furto di brevetti o valuta on line, sarebbe arrivato in Corea del Nord dall’allora “Caro Leader” Kim Jong-il. Oltre allo sviluppo di centri di ricerca e scuole, l’esercito cyber di Pyongyang ha pure avuto l’opportunità di andare in giro per il mondo, soprattutto in Cina (almeno fino alle recenti sanzioni), per cercare di carpire segreti e operare in condizioni il più distaccate possibile dalla madre patria (anche ai fini di seminare eventuali “segugi on line”).
Questi cyber soldati vivevano quasi sempre in appartamenti in comune, supervisionati da un responsabile dell’Ufficio 91, come veniva chiamato l’ufficio adibito a gestire tutto quanto riguarda l’informatica. A seconda dei risultati ottenuti dagli smanettoni nordcoreani il loro tenore di vita poteva essere buono o decisamente al limite della povertà.
Quanto Pyongyang chiedeva, e chiede tuttora, ai suoi esperti informatici in giro per il mondo è molto semplice: clonare software che poi il Paese rivende ai suoi partner, rubare letteralmente informazioni da server e — di recente — cloud, fare cassa in qualsiasi modo, attraverso i giochi elettronici o furti veri e propri da account bancari, per finanziare la Corea del Nord. Secondo IctSecurityMagazine «nel febbraio 2016 81 milioni di dollari furono fraudolentemente trasferiti fuori dal conto della Banca Centrale del Bangladesh alla New York Federal Reserve, per essere instradati verso le Filippine. Gli analisti scoprirono che i criminali informatici in capo ai quali andava ascritto quel furto avevano attentamente dirottato il loro segnale verso la Francia, il Sud Corea e Taiwan, per configurare il loro server di attacco, commettendo tuttavia un errore tecnico, che, alla fine, consentì di ricollegare l’episodio alla Corea del Nord».
Secondo Bloomberg, che ha raccolto la storia di alcuni di questi esperti che hanno poi abbandonato la propria vita al servizio di Pyongyang, disertando in Corea del Sud, i guadagni annuali dalle loro attività potevano anche arrivare a 100mila dollari. L’informatico prendeva circa il 10% di questi guadagni: quanti più dollari “fatturava” la Corea del Nord, quanto più era alto lo stipendio anche per l’esecutore.
Il balzo in avanti di Kim Jong-un
Se però con Kim Jong-il l’attività procedeva secondo standard abbastanza usuali, con il giovane Kim Jong-un questo genere di business e procedure di intelligence si sarebbero colorati di intenzioni ben più rilevanti. Sarebbero dunque aumentati gli scopi, così come il budget riservato a questo genere di “lavori” (così come internamente Kim avrebbe spinto molto sullo sviluppo del sistema operativo della juche, ovvero “Red Star”, e sulla diffusione, per quanto limitata ai papaveri del regime, degli smartphone made in Korea).
Di recente, dunque, le attività informatiche della Corea del Nord, oltre a costituire una delle entrate che garantiscono al Paese di stare in piedi (a questo proposito su eastwest.eu avevamo scritto tempo fa in che modo campa la Corea del Nord) sarebbero aumentate puntando non solo sul nemico storico, la Corea del Sud, ma allargando il campo anche a Paesi con i quali Pyongyang è entrato — in qualche modo — a contatto.
Un esempio? La società americana FireEye avrebbe sottolineato un attacco condotto da Pyongyang contro un’azienda medio orientale con la quale le procedure per la chiusura di un contratto non erano andate a buon fine. Ma non solo, perché secondo FireEye, l’ufficio di esperti informatici coreani sarebbe pronto ormai a sferrare attacchi su larga scala.
L’arsenale a disposizione di Kim infatti sarebbe rilevante: «La nostra preoccupazione è che tutto questo potrebbe essere utilizzato per un attacco distruttivo e non per una classica missione di spionaggio, che tra l’altro la Corea del Nord attua abitualmente», ha detto John Hultquist, responsabile del settore intelligence analysis di FireEye.
Gli esperti accendono i riflettori in particolare sul gruppo identificato con la sigla APT37, a cui vengono attribuiti cyber-attacchi con conseguenze in Corea del Sud, Giappone, Vietnam e Medio Oriente. Si è trattato soprattutto di azioni con cui gli hacker hanno individuato e sfruttato falle nei sistemi di sicurezza apparentemente impenetrabili con estrema rapidità, prima che gli sviluppatori potessero creare una patch per porre rimedio alla situazione.
«È come se il tuo sistema di sicurezza fosse un enorme muro. Qualcuno, però, sa che da qualche parte c’è un buco e può infilarsi», ha riassunto Hultquist, evidenziando le abilità e le risorse a disposizione degli esperti nord coreani. APT37 è riuscito ad ottenere risultati senza esporsi troppo. FireEye vede lo zampino degli hacker filo-Pyongyang in una serie di azioni condotte in Corea del Sud e in Giappone ai danni di obiettivi che, per motivi diversi, potevano costituire una minaccia per la Corea del Nord: organizzazioni governative, strutture militari, media e anche Ong. Anche l’attacco ai danni di Orascom, compagnia egiziana di telecomunicazioni, farebbe pensare alla matrice nordcoreana.
Questa la voce di FireEye; ma se leggiamo bene alcune parti del loro report, si può notare come le azioni più importanti siano state condotte con il vecchio sistema del phishing, tramite mail o documenti contenenti malware, aperti da qualcuno ignaro. Tenendo poi conto che queste società di intelligence sulle minacce ci campano, sarà bene ricordare che queste attività, al momento, risultano messe in pratica da tanti altri Paesi.
di Simone Pieranni
[Pubblicato su Eastwest]