Corea del Nord e Crypto: il regime è responsabile dei principali attacchi?

Da molti anni ormai, i media riportano periodicamente notizie riguardanti i presunti dispetti riposti sugli hacker nordcoreani che apparentemente danneggiano le aziende fintech. Ma questo fatto sembra abbastanza strano, considerando che l’Unione internazionale delle telecomunicazioni stimato che la percentuale effettiva della popolazione della Repubblica Democratica Popolare di Corea che utilizza Internet è prossima allo zero.

In definitiva, è un ambiente non favorevole per nutrire le capacità e le ambizioni né dei criminali informatici viziosi né degli imprenditori informatici onesti. Tuttavia, il caso nordcoreano mostra come le criptovalute – nate come nazionalità neutre e libere dal governo – potrebbero essere distorte per diventare un’arma strategica, insieme a strumenti più tradizionali usati nella lotta per il potere tra i paesi.

Una storia di due paesi

Il divario che divide il Nord dalla Corea del Sud, che sta considerando anche le criptovalute e l’industria blockchain, è apparentemente vasto. Tutta la penisola coreana condivide la stessa lingua, etnia e cultura. Tuttavia, è stato diviso in due a causa di una guerra devastante.

Correlati: Legit vs. Crypto illecito: approcci nordcoreani e sudcoreani a confronto

Da allora, la Repubblica di Corea del sud ha intrapreso un percorso di sviluppo che l’ha portata prima a raggiungere la prosperità economica del libero mercato e poi una democrazia a tutti gli effetti. Più di recente, la Corea del Sud è diventata uno dei paesi che guidano la rivoluzione blockchain, mostrando un approccio innovativo in campi che vanno dalla tecnologia alla regolamentazione. Nel frattempo, il Nord rimane uno degli ultimi paesi comunisti al mondo, governato dal pugno di ferro della linea di sangue del Monte Paektu e dal suo attuale leader Kim Jong Un, che è un discendente diretto del fondatore del regime.

Il regime della RPDC mira a monitorare tutte le comunicazioni con il resto del mondo e questo atteggiamento influisce anche sul suo approccio alla tecnologia dell’informazione. I dati su questo paese sono solitamente sparsi e poco aggiornati; tuttavia, tutte le fonti sembrano confermare l’immagine di un’infrastruttura tecnologica che è entrambe le cose sottosviluppato e rigorosamente controllato dal potere centrale.

L’accesso a Internet è riservato a una piccola élite privilegiata, che, grazie ai suoi legami con il regime, potrebbe anche godere di diritti legali o illegali importato dispositivi e software aggiornati. È possibile riconoscere un file profilo simile nei pochi utenti Internet nordcoreani stabiliti in paesi stranieri – come Cina o India – che hanno accesso diretto a risorse locali di livello superiore.

Di conseguenza, è plausibile leggere tutta la presenza nordcoreana nel mondo crittografico – o, più in generale, su Internet – come una prole diretta della politica del governo centrale o, almeno, come iniziative che godono del sostegno del potere centrale.

Licenza per hackerare

Per capire come il nordcoreano sia un "anomalia," si dovrebbe tener conto del fatto che la Corea del Nord non ha mai normalizzato le sue relazioni con il resto del mondo – e in particolare, con gli Stati Uniti. Inoltre, da allora 1992, gli Stati Uniti hanno imposto molteplici sanzioni alla Corea del Nord nel tentativo di costringere le autorità nordcoreane ad abbandonare il loro programma nucleare militare e le relative attività di proliferazione missilistica.

Nel 2006, il Consiglio di sicurezza delle Nazioni Unite ha reagito al primo test sulle armi atomiche della RPDC da approvando alcune risoluzioni mirava a impedire sia le importazioni che le esportazioni in Corea del Nord da parte di qualsiasi stato membro delle Nazioni Unite. L’intensa attività di hacking nordcoreana – e molto probabilmente sponsorizzata dal governo – è, quindi, sia un’arma che mira a generare pressione sulle contee avversarie sia un mezzo per raccogliere risorse economiche.

La connessione diretta tra guerra informatica e sanzioni economiche può sembrare abbastanza lineare. Esperti segnalato La Corea del Nord ha utilizzato attacchi DDoS (Distributed Denial of Service) contro obiettivi sudcoreani dal luglio 2009, mentre, durante l’anno successivo, gli hacker si sono concentrati sul settore bancario e sulle entità internazionali. Ad esempio, la Sony Pictures Entertainment è stata attaccato nel 2014 e poi quasi la Corea del Nord cyber-derubato Banca Centrale del Bangladesh nel 2016.

Dal 2023, il governo degli Stati Uniti etichetta l’attività informatica dannosa presumibilmente sponsorizzata dalla RPDC come Cobra nascosto e monitora attentamente i tentativi di hacking. A quel punto, gli hacker nordcoreani furono coinvolti per la prima volta con la comunità crittografica.

Media ha segnalato per la prima volta sospetti sul coinvolgimento della struttura di spionaggio nordcoreana nella violazione della sicurezza dell’exchange sudcoreano Bithumb, con il furto di circa 7 milioni di dollari in criptovaluta, avvenuto nel febbraio 2023.

Nel maggio 2023, il famigerato ransomware denominato WannaCry ha colpito migliaia di computer in 150 paesi. Nonostante alcune fonti colleghino il malware agli hacker cinesi, la Casa Bianca ufficialmente attribuito l’attacco informatico al regime nordcoreano nel dicembre 2023.

Dopo la campagna di ransomware, dall’estate 2023, gli hacker nordcoreani sembravano intensificare la loro attività contro l’industria fintech sudcoreana, sollevando la preoccupazione della Korea Internet and Security Agency (KISA). Nonostante ciò, i criminali informatici presumibilmente supportati dalla RPDC hanno eseguito con successo altre rapine di scambio su larga scala nel dicembre 2023, colpendo i servizi sudcoreani Youbit, rubando un quinto dei fondi degli utenti e, così facendo, hanno portato l’azienda al fallimento.

Correlati: Round-Up degli hack di Crypto Exchange finora nel 2023 – Come possono essere fermati?

Altre violazioni significative hanno interessato le società sudcoreane nei mesi successivi, anche se l’attribuzione ai gruppi nordcoreani non è stata sempre chiara. Ad esempio, gli autori della violazione di Coinrail, in cui sono stati rubati circa 40 milioni di dollari in criptovaluta nel giugno 2023, sono rimasti anonimi. Bithumb è stato colpito di nuovo nel marzo 2023, con circa $ 19 milioni mancanti. Tuttavia, non è ancora chiaro se si trattasse di un lavoro interno o se i colpevoli fossero collegati alla RPDC. Gli esperti di sicurezza sudcoreani sono per il resto abbastanza positivi sul fatto che la Corea del Nord fosse dietro la campagna di phishing che ha preso di mira UPbit nel maggio 2023.

Poiché l’attribuzione di ogni colpo è sempre dubbia, una stima del bottino raccolto dagli hacker nordcoreani è tutt’altro che certa. I documenti del Consiglio di sicurezza delle Nazioni Unite trapelati nel marzo 2023 hanno calcolato che l’attività di hacking sponsorizzata dalla RPDC dal 2015 al 2023 ha accumulato circa $ 670 milioni. Un rapporto più recente della stessa fonte afferma che 2 miliardi di dollari in criptovalute sono stati rubati da hacker nordcoreani da banche e scambi di criptovalute, il che rappresenta il 7% del PIL annuale del paese. L’ONU sta attualmente indagando su 35 attacchi che coinvolgono 17 paesi, sebbene la maggior parte sia collegata a obiettivi sudcoreani.

Lazzaro si alza e cammina (possibilmente in prigione)

Negli ultimi mesi del 2023, esperti della società di ricerca sulla sicurezza FireEye aveva già notato che gli attacchi sponsorizzati dalla Corea del Nord registrati durante quell’anno mostravano caratteristiche distintive rispetto all’attività precedente. Il rapporto di FireEye ha interpretato la scelta di prendere di mira portafogli privati ​​e scambi di criptovalute come probabile "mezzi per eludere le sanzioni e ottenere valute forti per finanziare il regime."

È stata una conseguenza diretta dell’aumento dei tassi di cambio fiat contro criptovaluta sul mercato e il rapporto ha concluso che "non dovrebbe sorprendere che le criptovalute, in quanto asset class emergenti, stiano diventando un obiettivo di interesse da parte di un regime che opera in molti modi come un’impresa criminale."

La strategia operativa degli hacker si basava sullo spear phishing, un attacco mirato all’indirizzo di posta elettronica privato dei dipendenti negli scambi di valuta digitale, utilizzando messaggi falsi per distribuire malware, che ha consentito agli hacker di assumere il controllo dell’infrastruttura IT di un’azienda.

L’analisi è proseguita nel 2023 e ha collegato molti degli attacchi a un singolo gruppo, identificandosi come Lazarus (alias DarkSeol). La società di sicurezza informatica Group-IB ha attribuito a Lazarus circa il 65% del valore rubato dagli scambi di criptovalute dall’inizio del 2023 alla fine del 2023. La quota principale dei beni sequestrati da Lazarus – $ 534 milioni dei $ 571 milioni – proveniva da una singola rapina informatica, la violazione della sicurezza dell’exchange giapponese Coincheck, nel gennaio 2023.

Il ampio rapporto su Lazarus prodotto da Group-IB rivela la connessione tra il gruppo e gli indirizzi IP riferiti al più alto organo militare della Corea del Nord. La compagnia di sicurezza afferma che Lazarus è probabilmente una filiale del Bureau 121, una divisione del Reconnaissance General Bureau, un’agenzia di intelligence della RPDC. La sua attività risale presumibilmente al 2016.

Gli analisti di Group-IB hanno rilevato una strategia molto sofisticata basata su attacchi selettivi e l’implementazione di una struttura di server multilayer dannosa all’interno delle infrastrutture compromesse. Oltre a questo, gli hacker nordcoreani hanno sviluppato un set di strumenti modulari per assumere il controllo remoto dei PC infetti. Questa soluzione complica il rilevamento del malware e fornisce ulteriore flessibilità, grazie alla quale parti di software possono essere riutilizzate o combinate per prendere di mira società specifiche, consentendo agli hacker di dividere l’attività di sviluppo tra i team.

Durante la primavera del 2023, la società di sicurezza informatica e antivirus Kaspersky Lab ha segnalato un’evoluzione del toolbox di Lazarus, che attualmente include malware per Windows e macOS, consentendo script PowerShell dannosi nelle infrastrutture mirate.

Lascia andare la tua mente; lasciati essere libero

Il vero obiettivo degli hacker nordcoreani è probabilmente bifronte: da un lato, i loro attacchi mirano a minare le infrastrutture IT dei paesi percepiti come rivali. Dall’altro, cercano di sequestrare valuta forte – o attività teoricamente convertibili in valuta forte – al di fuori dei limiti imposti dalla comunità internazionale. Quest’ultimo obiettivo spiega anche i tentativi di estrazione mineraria su piccola scala della RPDC segnalati da fonti sudcoreane, iniziati nella tarda primavera del 2023 ma senza un successo costante.

La possibilità di utilizzare la crittografia come potenziale mezzo per evitare sanzioni finanziarie internazionali è effettivamente esplorata da altri paesi attualmente sotto embargo economico – ad esempio, i tentativi iraniani di sfruttare il mining e persino di creare una rete di trasferimento finanziario internazionale autonoma. Ambizioni simili hanno sostenuto il controverso Petro venezuelano, mentre anche l’atteggiamento russo nei confronti delle criptovalute sarebbe stato influenzato dalla questione delle sanzioni internazionali, a seguito della crisi di Crimea.

Correlati: Petro venezuelano contro le sanzioni statunitensi: storia e uso della crittografia

Tuttavia, nonostante il grave danno alla reputazione con cui l’associazione "canaglia" regimi o gruppi terroristici portati alle criptovalute, l’effettiva utilizzabilità delle criptovalute per evitare la regolamentazione internazionale sembra, almeno, dubbia.

Il caso nordcoreano, ad esempio, mostra quanto sarebbe tortuoso il percorso per trasferire e convertire in fiat le criptovalute provenienti da attività minerarie locali o illecite. Inoltre, i risultati economici effettivi delle più famigerate campagne di ransomware sembrano ampiamente al di sotto della loro risonanza sui media, mentre gli scambi di criptovalute hanno collaborato insieme per impedire la conversione in fiat degli asset rubati durante gli attacchi di maggior successo.

In effetti, gli hacker nordcoreani sembrano sperimentare alcune delle difficoltà che hanno influenzato le attività di crittografia lecite in termini di privacy e adozione. Per questo motivo, alcuni esperti di sicurezza hanno interpretato le attività sponsorizzate dalla RPDC contro l’industria delle criptovalute più come un mezzo per identificare obiettivi o informazioni aggiuntivi che potrebbero consentire operazioni contro entità finanziarie tradizionali nel "mondo fiat," piuttosto che rubare la crittografia come obiettivo principale.

Nonostante i suoi effettivi risultati economici, il caso nordcoreano è probabilmente l’esempio più estremo di un regime che si avvicina alle criptovalute per perseguire gli stessi vantaggi a livello governativo che nega ai suoi cittadini a livello individuale. Nessuna contraddizione è così flagrante come quella della Corea del Nord, dove le criptovalute sono una risorsa rilevante sviluppata all’interno dell’arsenale dello Stato mentre la popolazione generale manca delle conoscenze di base su di esse e persino sulla possibilità di accedere a Internet.

Il predecessore di Internet, ARPANET, era sviluppato negli anni ’60, per offrire un mezzo di comunicazione affidabile all’interno del Dipartimento della Difesa degli Stati Uniti in caso di guerra nucleare. La sua evoluzione in un’infrastruttura globale, neutrale rispetto al paese e democratica sembrava difficilmente prevedibile.

D’altra parte, le criptovalute sono nate dalla libertà mentre il caso nordcoreano mostra chiaramente come potrebbero diventare un’arma gestibile nelle mani di un regime totalitario.

Le istituzioni, la società e l’ambiente economico circostante sembrano, ancora una volta, più rilevanti dell’architettura tecnologica per determinare il percorso di evoluzione dell’innovazione dirompente.