Gli hacker nordcoreani erano una barzelletta, ora sono una delle peggiori minacce globali

A marzo del 2013 molti sudcoreani si sono trovati tagliati fuori dai loro account bancari. Gli ATM di due delle più grandi banche erano completamente paralizzati, precludendo la possibilità di ritirare i risparmi. Anche le redazioni dei principali canali televisivi della Corea del Sud –  KBS, MBC e YTN – se la sono vista brutta. I terminali non davano più segnale di vita, al posto del solito interminabile flusso di notizie e comunicati d’agenzia, lo schermo mostrava un teschio minaccioso e un inquietante messaggio: “questo è soltanto l’inizio del nostro movimento”.

Erano stati violati dalla Corea del Nord. Gli hacker avevano usato un malware noto da poco meno di un anno con il nome di DarkSeul. «L’attacco non è certo stato sofisticato come alcune precedenti operazioni cinesi, né tantomeno come quello condotto da Israele e USA contro le strutture nucleari in Iran, eppure non si è nemmeno trattato di un semplice attacco DDoS. È stata un’iniziativa molto più complessa», scriveva all’epoca dei fatti il NY Times. La stima dei danni si ferma a poche centinaia di migliaia di dollari dal miliardo.

Il quotidiano americano sottolineò anche una caratteristica piuttosto insolita per un attacco verosimilmente condotto da un Governo straniero: gli hacker non avevano tentato di nascondere le loro tracce, rendendo l’individuazione del sofisticato malware estremamente semplice. Il giornalista Choe Sang-Hun aveva ipotizzato che forse lo scopo degli hacker di Pyongyang non era semplicemente quello di destabilizzare il nemico. La Corea del Nord voleva mandare un messaggio al mondo: aveva appena dimostrato di poter «penetrare nel cuore economico di Seul senza dover far saltare in aria le sue corazzate e senza dover bombardare le sue isole».

La Corea del Nord aveva dimostrato di poter compromettere l’economia dei suoi nemici senza sparare un solo colpo

Nel 2013 l’attacco suscitò diversi interrogativi. Possibile che la Corea del Nord avesse raggiunto un simile livello di sofisticatezza da sola? Oggi la supremazia dell’armata digitale di Kim Jong-un non ci stupisce più: la presenza degli hacker nordcoreani nella cronaca internazionale è diventata la norma.

Nel 2014 la capacità offensiva della Corea del Nord torna ad occupare le prime pagine dei media internazionali. La Sony Pictures Entertainment si apprestava a portare al cinema il suo The Interview, una commedia con James Franco e Seth Rogen incentrata sull’improbabile piano di mandare un eccentrico giornalista ad assassinare Kim Jong-un. Sorprendentemente, ai nordcoreani l’idea non è piaciuta troppo: a novembre del 2014 un gruppo di hacker che si è firmato con il nome di ‘Guardian Of Peace’ (ma che in realtà oggi conosciamo con il nome Lazarus Group) prende possesso di una quantità epocale di informazioni riservate della compagnia. Email dei dirigenti, sceneggiature di film ancora in uscita, contratti, materiale legale e report finanziari. Contestualmente, come era già successo in Corea del Sud l’anno prima, i computer degli uffici di Sony vengono infettati da una variante del noto malware Shamoon —lo stesso usato dagli iraniani per mettere in ginocchio diverse raffinerie saudite— e tutti i loro dati vengono cancellati definitivamente.

La richiesta per evitare il dump delle informazioni e futuri attacchi è una sola: annullate l’uscita di The Interview e cancellate ogni copia esistente del film. La Sony alla fine decise di saltare la release nei cinema – si temevano attacchi terroristici – per distribuire la commedia attraverso i canali digitali. Nota a margine, The Interview è diventato un piccolo cult e gli hacker nordcoreani hanno contribuito enormemente alla sua popolarità: è stato a lungo il film in cima alla classifica degli incassi provenienti dall’on-demand di Sony.

Negli ultimi dieci anni gli attacchi informatici nordcoreani si sono moltiplicati. Certo, le operazioni mirate a destabilizzare i Paesi NATO o portare avanti delle vendette personali a nome del Governo di Pyongyang non sono mancate, ma la maggior parte degli attacchi risponde ad un’unica esigenza: rubare e riciclare denaro per un Paese perennemente sull’orlo della bancarotta e incapace non solo di finanziare le sue operazioni militari, a partire dal costoso piano missilistico, ma anche di sfamare i suoi stessi cittadini.

Ransomware e attacchi alle banche, lo schema di Pyongyang per finanziarsi mandando nel caos i nemici del regime

Il crimine, per la dittatura, non è una scelta ma una necessità. Prima degli attacchi hacker c’era il business delle banconote false. Copie perfette della banconota da 100$, così indistinguibili dall’originale che le autorità coniarono il nomignolo di ‘Superdollar’. La contraffazione delle valute – così vuole la leggenda – sarebbe stata ordinata da Kim Il Sung negli anni 70. Seconda una stima dei Secret Services statunitensi, nell’arco di un trentennio la Corea del Nord avrebbe introdotto sul mercato internazionale decine di milioni di dollari falsi, la maggior parte dei quali passati completamente inosservati.

I servizi segreti del Partito del Lavoro di Corea hanno un intero dipartimento incaricato di procacciare valuta straniera – soprattutto dollari – al Paese. Si chiama Room 39 e le autorità americane stimano che contribuisca all’economia nordcoreana per una cifra compresa trai 500 milioni e il miliardo di dollari ogni anno. Storicamente, Room 39 non si è occupato solo della falsificazione delle valute: parte dei fondi presumibilmente provengono dallo spaccio di droga – eroina e meth- e da diverse frodi su larga scala, inclusa la produzione e la vendita di finte pillole di viagra.

Presto la Corea del Nord si è accorta che gli attacchi informatici possono essere molto più redditizi.

Le prime orme della rinascita digitale della Corea del Nord risalgono agli anni 90. All’epoca lo Stato era ancora sotto la reggenza di Kim Il-Sung, il padre di Kim Jong-un. Il leader supremo aveva avuto l’intuizione di sfruttare la nuove opportunità del digitale per ricostruire un Paese distrutto da anni di carestia.

Nascono così i primi corsi in ingegneria informatica nelle università specialistiche della capitale, mentre ogni anno la dittatura inizia a tenere dei veri e propri contest rivolti ai migliori programmatori della Corea del Nord. I vincitori ricevevano in omaggio un orologio placcato in oro. Sotto il dittatore grasso, come lo ha chiamato Michael Brenn nel suo libro, iniziano le prime incursioni degli hacker. Erano perlopiù una barzelletta: gli hacker si limitavano a violare pagine di terza categoria dei siti delle agenzie federali americane, così il Governo poteva dichiarare con fierezza di aver ‘umiliato gli Stati Uniti’. Nei fatti, i danni erano inesistenti.

È soltanto con l’inizio del regno del figlio, nel 2011, che l’armata digitale della Corea del Nord dà i primi segni della prolifica attività dei giorni nostri. L’esercito di hacker nordcoreani conterebbe almeno 7.000 membri ed è capace di operazioni estremamente audaci e distruttive.

Oggi, ad esempio, abbiamo davvero pochi dubbi sull’origine nordcoreana del devastante attacco WannaCry, un ransomware che ha messo in ginocchio ospedali e altre infrastrutture di vitale importanza in mezza Europa, soprattutto in Ucraina e in Regno Unito. Nel 2017 il malware ha colpito più di 200.000 computer, facendo vittime non soltanto nelle strutture pubbliche, ma anche nelle aziende, tra cui Renault.

WannaCry è un esempio estremamente utile per spiegare la duplice utilità degli attacchi hacker per la Corea del Nord: come in tutti gli attacchi ransomware, le aziende e gli enti colpiti hanno dovuto pagare per riavere i loro dati. Gli analisti informatici sono riusciti a risalire al totale di pagamenti registrati sui wallet Bitcoin usati dagli hacker per raccogliere i riscatti. Nonostante la mole impressionante di computer infettati, i pagamenti ricevuti sono stati appena 430, per un bottino complessivo di grossomodo 386.905 dollari. Importa? Poco, perché parallelamente Pyongyang ha creato danni all’economia mondiale per miliardi di euro. Mentre le casse degli hacker si riempivano di criptovalute, le aziende che sorreggono l’economia dei nemici della dittatura perdevano soldi e produttività.

Preso nota di questa filosofia, non stupisce che uno dei bersagli preferiti dei cyber-gangster nordcoreani siano le banche. Nel 2016 la Corea del Nord si è trovata ad un passo dal rubare 1 miliardo di dollari dalla Federal Reserve di New York. Un colpo leggendario, di quelli che si vede soltanto nei film. Ma a differenza di quello che ci mostra Hollywoord, i nordcoreani non hanno dovuto penetrare fisicamente nella banca centrale con complessi camuffamenti e altri improbabili stratagemmi. Si sono limitati ad hackerare una stampante degli uffici della Banca centrale del Bangladesh, in modo da ordinare transazioni per centinaia di milioni di dollari senza che i funzionari bengalesi potessero farci nulla. Sarebbe filato tutto liscio come l’olio, non fosse per alcuni errori grossolani a partire da un errore di spelling. I nordcoreani avevano dato mandato di trasferire 20 milioni di dollari sui conti di una società di comodo, la Shalika Foundation, peccato che – forse per distrazione, forse per ignoranza – abbiano scritto ‘Fandation’ invece di Foundation. Alla fine sono riuscite a passare inosservate soltanto quattro transazioni, per un bottino complessivo di circa 80 milioni di dollari.

Gli sgherri della Corea del Nord non usano pistole ma tastiere, rubano wallet digitali e non sacchi pieni di contanti. Sono diventati i leader mondiali nelle rapine alle banche

aveva detto solamente il mese scoro John C. Demers, il procuratore del Governo americano che sta seguendo un caso che vede tre cittadini nordcoreani accusati di far parte del Lazarus Group e di aver rubato più di 1 miliardo di dollari per conto del regime.

La vita dell’hacker nordcoreano medio

Nel 2018 i giornalisti di Bloomberg hanno avuto la più che unica occasione di sedersi davanti ad un ex hacker nordcoreano e ottenere informazioni privilegiate sul funzionamento della macchina – o quantomeno, di una delle sue parti – delle operazioni di hacking della Corea del Nord. Jong, il nome di fantasia dato dal quotidiano all’hacker in questione, non aveva preso parte alle complesse operazioni di destabilizzazione di Seul, né all’attacco informatico contro la Sony Pictures Entertainment del 2014 o al devastante attacco ransomware WannaCry. Il suo compito era quello di guadagnare soldi per il suo Governo. Operava dalla Cina, Paese in cui era stato mandato già durante gli anni degli studi universitari come premio per i suoi risultati promettenti.

La Corea del Nord farebbe di tutto per i soldi, anche costringerti a rubarli per lei

aveva detto ai giornalisti di Bloomberg. Jong viveva in un’affollata casa a tre piani in Cina con decine di colleghi. Ciascuno di loro era incaricato di accumulare – con ogni possibile mezzo – almeno 100.000$ all’anno. Chi non raggiungeva il risultato veniva rimandato in Corea del Nord. Chi veniva scoperto a trattenere per sé i proventi dei furti o delle altre frodi rischiava pene ben più severe, come l’incarcerazione nei campi di rieducazione. Curiosamente, i primi compiti assegnati a Jong erano tutto fuorché sofisticati. La maggior parte dei soldi li otteneva creando e vendendo copie crackate dei principali programmi per l’ufficio, oppure dei videogiochi più popolari. I videogiochi erano una parte importante delle operazioni degli hacker che lavoravano con Jong: altri fondi venivano dalla vendita di skin e oggetti rari in titoli come Diablo, oggetti che venivano accumulati grazie a bot addestrati per il compito. In altri casi i soldi venivano raccolti hackerando i casinò online e rivendendo tool per barare ai giocatori incalliti. «Non eravamo un’elite, ma degli operai sottopagati», ha raccontato. Eppure la vita di Jong era piuttosto agiata per un nordcoreano. Grazie ai suoi proficui risultati, aveva diritto ad una serie di benefit che potranno sembrare banalità per un occidentale, ma che per i connazionali dell’hacker sono in realtà dei grandi privilegi. A partire dalla possibilità di vivere fuori dalla Corea del Nord e avere accesso illimitato ad internet.

Una volta che sei stato selezionato per entrare all’interno di una unità cyber, ricevi un titolo ufficiale che, di fatto, di rende un cittadino privilegiato. Non devi più preoccuparti del cibo o di altre necessità di base

Ha spiegato un altro disertore, questa volta al quotidiano francese l’Opinion.

La Corea del Nord seleziona hacker nello stesso modo in cui altri Paesi selezionano gli atleti olimpici.

Alcuni studenti particolarmente promettenti vengono individuati già alla tenera età di 11 anni. L’addestramento è intenso e non prevede soste. Ogni anno il Paese organizza un’hackathon aperto ai migliori programmatori del Paese. «Per sei mesi all’anno, giorno e notte, non facciamo altro che prepararci per la gara».

Per gli hacker che operano dalla Corea del Nord sono previsti diversi bonus, a partire dalla possibilità di vivere in appartamenti spaziosi nella capitale e l’esenzione dal duro e rigoroso servizio militare presso le forze armate tradizionali. Ma anche secondo le fonti dell’Opinion la maggior parte degli hacker sono dislocati fuori dai confini della dittatura, fin dall’addestramento: imparare le lingue straniere è un must, anche perché inserire idiomi stranieri nel codice è un ottimo modo per depistare le prime indagini dopo un attacco. Spesso i migliori hacker vengono inviati nelle competizioni internazionali ospitate dai Paesi amici. Una fonte – scrive sempre l’Opinion – ha raccontato di una competizione in particolare, il CodeChef del 2015 organizzato da un’azienda informatica indiana. Su oltre 7.600 partecipanti, i primi tre posti sono andati tutti ad hacker della Corea del nord.

I numeri del report dell’ONU

La prolifica attività criminale della Corea del Nord non è passata inosservata agli occhi del Consiglio di Sicurezza dell’ONU. «Gli hacker della Repubblica Democratica di Corea, spesso sotto direttiva dell’RGB, sono incaricati di raccogliere fondi per il programma WMD (acronimo di weapons of mass destruction ndr) e ad oggi stimiamo abbiano raccolto più di 2 miliardi di dollari», si legge nel report del 2019 della commissione incaricata di vigilare sulle sanzioni imposte dall’organizzazione intergovernativa alla dittatura nordcoreana.

Il report delle Nazioni Unite si sofferma in particolare sull’uso spregiudicato delle criptovalute da parte della dittatura. I Bitcoin nascono esattamente per questo: per essere una valuta a prova di censura, immutabile e permissionless. Significa che le transazioni non devono venire autorizzate da nessun intermediario e che non possono essere cancellate o fermate da nessuna autorità. Non esiste uno strumento migliore per uno Stato isolato dalle sanzioni e da sempre costretto al contrabbando e a mezzi creativi per importare merce e ricchezze. Le criptovalute consentono alla dittatura di accumulare ricchezza dai furti e poterla riciclare senza sospetti. Ma non solo: anche il mining di valute come Monero consente alla dittatura di ottenere entrate extra.

Due miliardi è una cifra che deve impressionare per due motivi: la prima è che davvero poche altre organizzazioni criminali possono vantare risultati di questo tipo, la seconda è che va letta alla luce dell’esigua ricchezza dello Stato. Due miliardi sono circa un decimo di quanto lo Stato italiano ottiene dal gettito fiscale dell’IMU + Tasi. Eppure per la Corea del Nord sono una cifra impressionante, dato che il PIL della nazione – almeno al 2013 – si fermava a 28 miliardi di dollari.

Due anni dopo, scriveva la Repubblica a febbraio, lo stesso consiglio – con un report aggiornato – ha stimato che gli hacker di Pyongyang abbiano accumulato 316,4 milioni di dollari in appena 12 mesi, tra il 2019 e il 2020. Nel nuovo rapporto si parla anche di come la Corea del Nord stia attivamente cercando di attirare esperti senza scrupoli dalle democrazie occidentali per potenziare le sue operazioni criminali e di evasione delle sanzioni. Così, ad aprile del 2019, la dittatura ha tenuto un autentico summit internazionale sulla tecnologia Blockchain. Summit che è entrato negli oneri della cronaca per avere messo nei guai il cittadino americano: Virgil Griffith, che partecipandovi è finito sotto indagine dell’FBI. Sul web è ancora disponibile una pagina archivio del sito ufficiale dell’evento.

L’ONU e gli Stati NATO hanno tentato di isolare la dittatura nel tentativo di fermare la sua corsa verso le armi di distruzione di massa. La Corea del Nord ha trovato nel cyber-crimine lo strumento perfetto per depotenziare (se non annullare) l’impatto delle sanzioni e sembra che ci sia davvero poco che si possa fare. Ora la paura è che anche altri Stati canaglia decidano di seguire l’esempio, moltiplicando le minacce informatiche e ponendo una scure ancora più pericolosa sull’economia mondiale e sulla sicurezza degli Stati democratici e dei loro cittadini.

 

The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.

 

• Computer Networks in South Korea Are Paralyzed in Cyberattacks (nytimes.com)
• South Korea on alert for cyber-attacks after major network goes down (theguardian.com)
• Inside North Korea’s Hacker Army (bloomberg.com)
• Sony Pictures hack (wikipedia.com)
• How North Korea’s Hackers Became Dangerously Good (lopinion.fr)