Pyongyang fra cyberspionaggio e furti informatici

La Corea del Nord, benché isolata e povera, si distingue per le sue avanzate capacità cibernetiche, come dimostrato negli attacchi ransomware WannaCry e contro la Sony. Pyongyang è nota per il cyberspionaggio, in particolare contro la Corea del Sud e gli Stati Uniti, e per furti di criptovalute per finanziare il proprio programma nucleare. Tecniche come lo spear phishing e watering hole attack sono comunemente utilizzate dai suoi hacker, formati in scuole d’élite. Tra i gruppi più temuti c’è Lazarus, responsabile di attacchi su larga scala.

La Corea del Nord: lo stato eremita sovrano di Internet

“La “K” sta per “Korea”, ma solo la parte settentrionale | la “I” sta per l’internet che bandisce | la “M” sta per i milioni che mancano | la “J” sta per la nostra marmellata che sa di carne umana | la “O” sta per “Oh, ragazzi! Come amiamo il nostro leader!” | la “N” sta per la Corea migliore, quella del nord | la “G” sta per “Gesù, amiamo il nostro leader!” (I Simpson)[1].

Se nel celebre episodio de “I Simpson” il riferimento era all’allora leader coreano Kim Jong-il, poco nella sostanza cambia se decidessimo di attribuire la beffa di quei versi all’attuale leader Kim Jong-un.

Anzi, la portata del gioco di parole ne sarebbe oltremodo amplificata così come il senso, sia in rapporto alla personalità di Kim Jong-un, che alla scena che la Corea del Nord sa oggi occupare, riuscendo a catalizzare su di sé gli occhi di tutto il mondo, per le sue mirabolanti capacità offensive cibernetiche, ormai indubbie e riconosciute da tutti.

L’ascesa delle capacità cibernetiche nordcoreane: gli attacchi cyber WannaCry e alla Sony

Volendo considerare allora, da questo punto di vista, la citazione tratta da uno degli episodi della famiglia più autorevolmente irriverente della storia della TV, volenti o nolenti, è automatico andare con la mente al nocciolo della questione che ha farcito i quotidiani cartacei e on line del 2017 e che ha contribuito a scrivere le prime pagine di questo nuovo anno e cioè alle c.d. “cyber capabilities” della Corea del Nord: un paese poverissimo e che, nonostante sia quasi completamente isolato da Internet, nella Rete sguazza meglio di chiunque altro e con una perizia tale da far invidia allo stato più ricco e iperconnesso.

E mentre all’ufficiosità di talune notizie si è sostituito ben presto un tam tam di conferme ufficiali da parte dei servizi inglesi e americani circa la responsabilità nordcoreana dell’attacco ransomware WannaCry, che nel maggio del 2017 ha incatenato i file di più di 300.000 macchine sparse in 150 paesi, in questo momento, quale immagine della Corea del Nord si sta delineando sotto i nostri occhi? In particolare, quali sono le capacità informatiche nordcoreane, quali sono le tecniche impiegate e chi sono i loro detentori? Quale arsenale cibernetico effettivamente possiede questo stato, fisicamente tanto isolato eppur tanto cyber-invadente?

Dai fatti di cronaca abbiamo appreso che il 2017, denso di episodi critici per la sicurezza informatica, ha visto più volte i cracker nordcoreani essere accusati di essere loro gli autori degli attacchi principali e più gravi. A ben vedere, tale considerazione sembra oggi essere avvalorata dai ricercatori di mezzo mondo, non solo per quanto riguarda gli incidenti informatici dell’anno appena trascorso, ma anche degli ultimi anni.

Andando a ritroso infatti, gli sforzi tesi a incanalare nella giusta direzione l’individuazione dei responsabili delle varie e più eclatanti azioni criminali informatiche (si pensi ai milionari furti di denaro e conseguentemente ai leak di dati, fino alla sottrazione di segreti di Stato) hanno tutti finito col far intravedere nella Corea del Nord l’artefice di alcuni dei più distruttivi cyber attacchi del 21mo secolo.

Basti pensare, senza andare nemmeno troppo indietro con la memoria, a quando nel 2014 la Sony Pictures Entertainment fu attaccata in maniera distruttiva: i server furono messi fuori uso, i film resi disponibili, insieme alla pubblicazione delle e-mail, dei numeri di previdenza sociale e dei salari degli impiegati. Il dito fu puntato contro la Corea del Nord, poiché la Sony di lì a poco avrebbe fatto uscire il film “The Interview”, incentrato su un piano escogitato per eliminare il leader nordcoreano Kim Jong Un, che nell’opera cinematografica veniva letteralmente preso per i fondelli.

I furti di denaro e di criptovalute della Corea del Nord

Ancora nel febbraio 2016 81 milioni di dollari furono fraudolentemente trasferiti fuori dal conto della Banca Centrale del Bangladesh alla New York Federal Reserve, per essere instradati verso le Filippine. Gli analisti scoprirono che i criminali informatici in capo ai quali andava ascritto quel furto avevano attentamente dirottato il loro segnale verso la Francia, la Sud Corea e Taiwan, per configurare il loro server di attacco, commettendo tuttavia un errore tecnico, che, alla fine, consentì di ricollegare l’episodio alla Corea del Nord.

Nonostante la scoperta, permane il fatto che la maggior parte di quei fondi di danaro trafugati non fu più rintracciata. Gli studiosi, ancora, sostengono che la Corea del Nord stia conducendo attacchi simili sui Bitcoin, Monero e sulle altre criptovalute, poiché le sanzioni internazionali che la colpiscono in continuazione e che sono finalizzate ad arrestare i suoi programmi di sviluppo dell’armamentario nucleare stanno rendendo di fatto arduo l’utilizzo dei dollari e, più in generale, delle valute tradizionali.

Cyberspionaggio nordcoreano contro la Corea del Sud e gli USA

Senza dubbio le attività di cyberspionaggio per cui la Corea del Nord è ben nota, sono praticate innanzi tutto nei confronti degli avversari di sempre e cioè contro la Corea del Sud e dell’alleanza di quest’ultima con gli Stati Uniti. Di ottobre è la dichiarazione di Rhee Cheol-hee, membro dell’Assemblea Nazionale della Corea del Sud, il quale ha affermato che nel 2016 la Corea del Nord ha sottratto documenti militari segreti dal database del ministero della difesa sudcoreano: 235 gigabytes di dati fra cui vi era anche un file che racchiudeva un piano strategico studiato per “decapitare” la leadership nordcoreana.

Si badi bene che questo fatto è avvenuto nonostante la Corea del Sud possa ad oggi vantare difese assai robuste nel campo della cybersecurity, il ché la dice lunga sulla sofisticatezza delle tecniche cibernetiche di Pyongyang. Non a caso il professor Lim Jong-in si è espresso in maniera sì molto semplice, ma altrettanto efficace sulla Corea del Nord, osservando come essa sia nelle condizioni di rubare qualsiasi cosa attraverso le sue tecniche di cyberspionaggio e che nessun paese possa ritenersi completamente al riparo dalle cyber spie nordcoreane.

Perciò, benché sia di fondamentale importanza non dimenticare come Pyongyang sia in grado di esibire la propria maestria nel cyberspazio anche altrimenti e cioè in maniera assai variegata e con un’altra altrettanto larga varietà d’ intenti, tutti per altro fra loro convergenti e collegati, certo è che il cyber-espionage nordcoreano la fa da padrona e funge per Pyongyang anche da trampolino di lancio per promuovere altri tipi di attacchi, con caratteristiche del tutto proprie.

In primis, non cessano di sorprendere le capacità degli “hacker” nordcoreani, figli di un paese isolato, recluso, poverissimo e oppresso da un regime dittatoriale, dove l’utilizzo di internet subisce forti limitazioni. Si sa, più in generale, che nella Corea del Nord i cittadini hanno accesso solo a un’intranet gestita dal governo chiamata Kwangmyon e a un’internet pesantemente censurata, la cui connettività è offerta principalmente dalla Cina.

Ma ciò non ha fermato i suoi “hacker” dall’eccellere. Al contempo, l’isolamento che la caratterizza le garantisce un vantaggio inaspettato, indiretto, una sorta di arma passiva, che la rende molto poco vulnerabile agli attacchi. La Corea del Nord fa leva così su questa asimmetria, risultando ben protetta da un lato da intromissioni esterne; dall’altro è anche piuttosto tutelata anche da eventuali sabotaggi interni, poiché la sua popolazione, tecnologicamente arretrata, vive come se fosse ancora negli anni Cinquanta.

L’altra particolarità è che gli attacchi informatici sempre più arditi di Pyongyang viaggiano in tandem con i programmi missilistici di tipo balistico e nucleare, che sta portando avanti a vele spiegate e che sono in rapido progresso.

Ciò è anche alla base della ragione per cui la Corea del Nord attualmente sembra dare negli ultimi tempi la precedenza ad attacchi informatici finalizzati a fare incetta d’ingenti somme di danaro, in particolare, come già accennato, sfruttando il terreno fertile delle criptovalute, per foraggiare i propri piani armamentari nucleari, spostando pertanto la sua attenzione dalle tradizionali e più usuali operazioni di cyber-spionaggio.

Tecniche avanzate di attacco informatico nordcoreane

La modalità tecnica d’attacco prediletta dalla Corea del Nord sembra essere senza dubbio quella dello spear phishing, cioè quella forma di phishing che si attua mediante l’invio di e-mail a un particolare gruppo di utenti, facenti ad esempio, parte di una medesima organizzazione, oppure indirizzando e-mail a un utente specifico, al fine di ottenere l’accesso a informazioni riservate di natura finanziaria, a segreti industriali, di Stato, militari.

Una seconda modalità d’attacco adottata di frequente dai criminali informatici della Corea del Nord è quella denominata watering hole attack. Anche in un attacco di tipo watering hole, il target è rappresentato da un gruppo di utenti ben determinato. Tuttavia il malware non è inviato, ma è installato nei siti che i cybercriminali sanno o presumono di sapere che le vittime siano abituate a visitare. Il suo nome trae origine dalle pozze d’acqua in prossimità delle quali i predatori si appostano in attesa dell’occasione giusta per agguantare le proprie prede.

Questo tipo di tecnica risulta particolarmente efficiente contro quegli utenti più preparati a non cadere nelle trappole del phishing e dello spear phishing. Anche nei casi di watering hole attack il codice malevolo è scritto per carpire le informazioni degli utenti colpiti. La particolarità di questa tecnica risiede nel fatto che i cybercriminali non sanno a priori quali saranno gli utenti che andranno a colpire (informazione, questa, che otterranno successivamente), poiché l’attacco è sferrato contro indirizzi IP.

Al terzo posto, vi è l’invio di messaggi a sfondo sessuale, tecnica malevola sempre in voga e molto ben sfruttata dalla maggior parte dei cyber criminali.

Last but not least i cracker nordcoreani sono noti per attaccare le macchine e trasformarle in pc zombie. La tecnica consiste nell’infettare i sistemi presi di mira iniettando codice malevolo, in grado di modificare il funzionamento dei programmi installati e consentendo ai cybercriminali d’intercettare le comunicazioni, sottraendo gli indirizzi IP di riferimento, password ed essenzialmente tramutando queste macchine in altre potenziali armi d’attacco.

Pyongyang: dai “500 allievi” agli “hacker” di stato

Nella Corea del Nord vi sono ben 250 scuole informatiche d’elite, in cui confluiscono studenti ritenuti particolarmente talentuosi. Nel paese, infatti, gli hacker in erba sono letteralmente ricercati dalle autorità e reclutati in giovane età. Così ha raccontato in un’intervista Kim Heung- kwang, un disertore nordcoreano, che prestò la propria opera come docente di Computer Science a Pyongyang, prima di fuggire nel 2004.

Da quegli istituti è poi selezionata la rosa dei 500 allievi destinati a seguire training avanzati in materia di cyber warfare. Tali corsi sono istituiti presso la Kim-Il-Sung University, la Kim Chaek University of Technology, la Mirim University di Pyongyang.

Una volta pronti, alcuni di questi “hacker” vengono assegnati alle varie cyber unità del regime, per la loro formazione pratica, altri, invece, finiscono col lavorare in posti come Shenyang, in Cina, dove la famigerata rete di “hacker” nordcoreani facente capo alla Reconnaissance General Bureau e nota come Bureau 121 opera. Per uno studente nordcoreano, perciò, il passo da hacker a cyber (as-)soldato del regime, o meglio a cracker, è assai breve e, per così dire, già segnato.

Il temuto Lazarus Group: cybercriminali sponsorizzati dallo Stato

Senza dilungarmi in questa sede in una minuziosa disamina dei principali gruppi cyber criminali che battono bandiera nordcoreana, ritengo valga la pena citarne uno per tutti: Lazarus Group. Conosciuto anche come HIDDEN COBRA, il gruppo è costituito da un imprecisato numero di componenti e di cui, per la verità non si sa molto. Stando al primo attacco che è stato ricondotto a Lazarus e di cui si ha notizia e cioè l’attacco “Operation Troy”, campagna di cyberspionaggio contro le forze militari sudcoreane, si sa che quest’organizzazione opera almeno dal 2009. Nell’offensiva Operation Troy perpetrata ai danni del governo sudcoreano e contro gli Stati Uniti è stato fatto impiego del worm MyDoom per condurre un DDoS su larga scala.

A Lazarus Group si attribuiscono ormai con una alta dose di certezza diversi attacchi informatici. Oltre ai già menzionati episodi che hanno coinvolto la Sony Pictures e la banca centrale del Bangladesh e al di là dell’attacco Wannacry sferrato su scala mondiale, gli studiosi ritengono che Lazarus sia responsabile anche del furto di 12 milioni di dollari americani dal Banco dell’Austro in Ecuador e di 1 milione di dollari americani dall’istituto di credito vietnamita Tien Phong, nel 2015.

Altre aggressione informatiche ricollegabili a Lazarus e degne di menzione sono due. La prima, conosciuta come “Operation Flame”, è da collocare come attacco immediatamente precedente a quello di Operation Troy. Essa risale al 2007 e si presume che dietro vi sia la mano di Lazarus. La seconda, del 2011, porta il suggestivo nome di “Ten Days of Rain”.

Questo attacco di tipo DDoS piuttosto sofisticato ha avuto come bersagli le infrastrutture critiche della Corea del Sud ed è stato sferrato sfruttando macchine sudcoreane precedentemente compromesse. Recentemente è stato scoperto che da Lazarus promanano due ulteriori sotto-gruppi di cybercriminali nordcoreani. Essi sono Bluenoroff e Andariel. Il primo è dedito a colpire gli istituti finanziari stranieri. Andariel, invece, concentra le proprie attività di attacco nei confronti delle istituzioni economiche e governative sudcoreane.

Le Olimpiadi di PyeongChang: un’opportunità per nuovi attacchi?

Nel momento in cui scrivo è appena terminata la cerimonia d’apertura delle Olimpiadi invernali di PyeongChang 2018 e che ha visto la sfilata chiudersi con l’improbabile abbraccio fra gli atleti della Corea del Nord e quelli della Corea del Sud. Sorrido… Chissà cosa sta invece accadendo nelle macchine sudcoreane, nei sistemi di chi gestisce questo imponente e illustre evento, nei dispositivi dei turisti, … Tanto già si è detto e scritto nelle ultime settimane sugli attacchi “hacker” già acclarati e che sono in corso e che proseguiranno nei prossimi giorni.

Saranno di matrice nordcoreana? Russa? Parteciperanno anche altri criminali informatici al banchetto offerto da Pyeongchang? Una cosa è certa: stanno attaccando. E alle gare olimpiche vedremo affiancarsi le antiche e rinnovate gare cibernetiche.

Alcuni suggerimenti bibliografici:

  • “North Korea’s Cyber Operations,” Center for Strategic and International Studies Korea Chair, December 2015.
  • Sparks, Matthew, “Internet in North Korea: Everything You Need to Know,” The Telegraph, December 23, 2014,
  • Donghui Park, “North Korea Cyber /Attacks: A New Asymmetrical Military Strategy,” Henry M. Jackson School for International Studies post, June 28, 2016.
  • Will Edwards, “North Korea as a Cyber Threat,” The Cypher Brief, July 1, 2016.

Note

[1] “Traduzione non ufficiale del coro durante il fittizio musical sul dittatore Kim Jong-il”, https://it.wikiquote.org/wiki/Corea_del_Nord#cite_note-1

 

A cura di: Federica Bertoni

Profilo Autore

Federica Bertoni, Informatico Forense, certificata CIFI, è Perito e Consulente Tecnico presso il Tribunale Ordinario di Brescia. Laureata in Giurisprudenza con una tesi in Informatica Giuridica incentrata sugli aspetti di sicurezza informatica e giuridici del fenomeno del “phishing”, è stata fra i primi in Italia ad occuparsi di Digital Forensics, fondando 10 anni fa un’azienda per l’erogazione di servizi di analisi e consulenza in tale materia. È stata Conciliatore presso il Servizio di Conciliazione e Arbitrato presso la CCIAA di Brescia in controversie in materia di telecomunicazioni. Titolare di uno studio professionale, presta la propria consulenza a studi legali, aziende, Procure e FF.OO., in materia di cybercrime, nel significato più ampio del termine. È membro del Capitolo italiano dell’IISFA e socia e docente CLUSIT. Dal 2003 è autrice e coautrice di diverse pubblicazioni in materia di Sicurezza informatica, Diritto dell’Informatica e delle Nuove Tecnologie e Informatica Forense. Collabora con le Cattedre d’Informatica Giuridica delle Facoltà di Giurisprudenza dell’Università degli Studi di Brescia e Pavia.

Condividi sui Social Network:

Articoli simili