Sempre con maggiore frequenza apprendiamo di attacchi condotti dalle unità speciali cyber del governo Nord Coreano contro sistemi di mezzo mondo, cerchiamo di comprendere quindi chi sono i nostri avversari, come operano e che livello di minaccia realmente rappresentano.
L’allarme fu lanciato da diverse agenzie di intelligence già nel 2014: il Governo di Pyongyang stava investendo in maniera significativa nell’incremento delle sue capacità cyber, per questo obiettivo il numero di hacker operanti nelle file dell’esercito nazionale fu raddoppiato.
Secondo le dichiarazioni rilasciate da un disertore sfuggito al regime, nel 2014 l’unità cyber del Governo fu incrementata di ulteriori 3000 unità su richiesta esplicita del proprio leader, un vero e proprio esercito di esperti informatici che operano tuttora con circa 6800 hacker sotto il controllo del General Bureau of Reconnaissance.
Già ne 2011, immagini satellitari in possesso dell’intelligence americana rivelarono l’esistenza del North Korea’s ‘No. 91 Office, una unità speciale di hacking collocata nel distretto di Mangkyungdae nella città di Pyongyang.
Col trascorrere degli anni gli hacker Nord Coreani affinano le proprie tecniche di spionaggio e sabotaggio, le principali aziende di sicurezza identificano molti codici malevoli attribuiti agli hacker di Pyongyang. Si riconoscono tecniche di sviluppo sempre più sofisticate volte a rendere difficile l’attribuzione, non solo in taluni casi sono state impiegati falsi indizi (false flag) per confondere gli analisti.
Discutendo di capacità cyber della Corea del Nord non possiamo non riportare alcuni degli attacchi più clamorosi attribuiti ad uno dei gruppi APT (Advanced Persistent Threat) più attivi nell’ultimo biennio, il famigerato Lazarus group.
L’attività del gruppo Lazarus APT è aumentata in maniera significativa tra il 2014 ed il 2015, i suoi hacker hanno utilizzato prevalentemente malware sviluppati da loro mostrando un crescente livello di sofisticazione. Il gruppo in realtà è attivo dal 2009, esperti ipotizzano addirittura lo fosse già nel 2007.
Gli esperti di sicurezza di diverse aziende attribuiscono al gruppo campagne di spionaggio classificate come l’Operazione Troy e l’Operazione DarkSeoul, ma la massima popolarità fu raggiunta con l’hack dei sistemi della Sony Picture.
Sempre il gruppo APT Lazarus è stato indicato come il principale responsabile dell’impressionante sequenza di attacchi contro il sistema finanziario mondiale. Gli hacker Nord Coreani hanno preso di mira il sistema SWIFT usato per i trasferimenti finanziari tra banche, colpendo istituti di credito in tutto il mondo.
Clamoroso l’attacco contro la banca del Bangladesh a cui furono sottratte diverse decine di milioni di Euro e solo un errore commesso dagli attaccanti evitò che il bottino potesse essere decine di volte superiore.
Arriviamo quindi ai giorni nostri, valutando con attenzione gli effetti della militarizzazione del cyberspazio. In maggio i sistemi di mezzo mondo sono stati messi in ginocchio dal ransomware WannaCry, dopo un’iniziale smarrimento, molte delle principali aziende di sicurezza hanno attribuito l’attacco al Governo Nord Coreano.
L’attacco rappresenta un evento cruciale nell’evoluzione della minaccia mossa dal paese asiatico, gli esperti Nord Coreani hanno infatti sviluppato un codice in grado colpire sistemi in tutto il mondo sfruttando degli exploit rubati all’agenzia di intelligence americana NSA da un gruppo di hacker noto come Shadow Brokers.
È stato stimato che WannaCry ha compromesso in poche settimane più di 300.000 computer in 150 paese, ingenti sono stati i danni causati ad aziende in tutto il mondo.
I codici in questione sono stati trafugati dall’agenzia americana che evidentemente li utilizzava per colpire sistemi in tutto il mondo, tuttavia ne hanno perso il controllo e molteplici attori malevoli hanno preso ad utilizzarli, comprese attori nation-state.
Proprio in queste ore il National Audit Office inglese ha confermato che il malware ha paralizzato un terzo degli ospedali britannici con gravi ripercussioni per i pazienti e sull’operatività delle strutture. Gli esperti inglesi hanno accusato la Nord Corea per l’attacco ai propri sistemi, e come altri governi non escludono ritorsioni.
Cosa attendersi nel prossimo futuro?
Non vi sono dubbi in merito, il governo di Pyongyang continuerà imperterrito le proprie cyber operazioni ai danni di paese di tutto il mondo. Non solo, il governo sta lavorando anche per rinforzare la propria infrastruttura di rete con l’intento di aumentare la resilienza ad attacchi mossi da altri governi.
Poche settimane fa, gli esperti dell’azienda Dyn Research hanno scoperto traffico proveniente dalla Nord Corea instradato dall’azienda Russia TransTeleCom, ciò significa che il governo asiatico dispone ora di una seconda interconnessione alla rete mondiale dopo quella gestita dalla azienda di telecomunicazione cinese China Unicom sin dal 2010.
Sottovalutare la minaccia cibernetica mossa dallo stato asiatico potrebbe essere un grave errore.
