Nel maggio 2017, computer di tutto il mondo furono infettati uno dopo l’altro da un ransomware, il WannaCry. Un messaggio con una richiesta di riscatto di 300 dollari in bitcoin, in cambio di file salvati sugli hard disk, comparve sul monitor di quasi 300.0000 dispositivi informatici. Tra le vittime, Vodafone, FedEx, Renault, il National Health Service (il sistema sanitario britannico) e ancora la Deutsche Bahn (le ferrovie tedesche). Un attacco “senza precedenti”, lo definì Europol. La responsabilità non è mai stata attribuita ufficialmente alla Corea del Nord, ma molti analisti ritengono che dietro l’attacco ci sia Lazarus, un gruppo di hacker di Pyongyang. Ne ha la certezza Simon Choï, fondatore della ONG Issue Makers Lab, per il quale il cyber attacco è stato una risposta del regime nordcoreano alle sanzioni del Consiglio di sicurezza delle Nazioni Unite scattate pochi mesi prima.
Da 13 anni, Simon Choï e i suoi colleghi scrutano le attività online dei nordcoreani: “Se confrontiamo la minaccia delle armi nucleari e quella degli hacker, penso che siano questi ultimi i più pericolosi”. Ma se i test nucleari realizzati nel 2016 e 2017 hanno scatenato una serie di sanzioni economiche, che isolano e indeboliscono finanziariamente il paese, per ora i cyber attacchi non hanno sollevato reazioni e il regime è quindi sempre pronto a passare all’offensiva. Seongsu Park, ricercatore in sicurezza informatica presso Kaspersky, azienda specializzata in software antivirus, ritiene che “tenendo conto del numero di attacchi, degli sviluppi tecnologici e delle evoluzioni della strategia, Lazarus è il gruppo di hacker più attivo al mondo dell’anno”. L’impennata di attacchi online nordcoreani è difficile da quantificare dal momento che è sempre complicato attribuire pubblicamente la responsabilità dell’attacco a uno Stato. Ma gli hacker di Pyongyang presentano delle caratteristiche ben precise. “Non sono i migliori del mondo, ma sanno cosa vogliono, sono molto efficaci e soprattutto determinati – osserva Simon Choï, che si definisce un “anti-hacker”, avendo già collaborato con i servizi segreti sudcoreani -. Se necessario, non esitano a inviare anche una mail al giorno al loro bersaglio e per degli anni, fintanto che questo non si rassegni a cliccare sul link”. L’analisi di Choï è condivisa da Jenny Jun, autrice di una tesi alla Columbia University sulla cybersecurity e autrice di numerosi testi sulle offensive degli hacker della Corea del Nord. “Sono perseveranti, organizzati e le loro capacità si sono evolute notevolmente in dieci anni”. Anche i loro bersagli sono cambiati nel tempo, in funzione sia delle evoluzioni tecniche che delle esigenze del regime. “Il più grande sviluppo della loro attività si nota nel 2015. È da allora che sono diventati estremamente attivi nel crimine informatico – sottolinea Jenny Jun -. Secondo le Nazioni Unite, in un anno hanno rubato più di 300 milioni di dollari. In confronto, le esportazioni totali di carbone del Paese ammontano a 400 milioni di dollari”. Nel 2016, mentre le sanzioni internazionali isolavano il regime, i soldati del web di Kim tentarono la rapina del secolo. Il loro obiettivo era la Banca Centrale del Bangladesh, o piuttosto il suo miliardo di dollari conservato nella Federal Reserve degli Stati Uniti. La banca centrale venne infiltrata e, sfruttando la differenza di fuso orario tra Washington e Dacca, gli hacker riuscirono a falsificare i codici SWIFT (che permettono di trasmettere gli ordini di versamento tra banche) e a inviare 81 milioni di dollari a delle associazioni nelle Filippine, dove il denaro è stato riciclato. Il resto degli ordini di versamento è stato poi bloccato dalle autorità bancarie statunitensi.
Da allora, gli hacker si concentrano soprattutto sulle criptovalute. “Prendono di mira i portafogli digitali dei privati, come me o lei, utilizzando lo spear fishing, che si basa sull’invio di mail contenenti link per scaricare software dannosi -, osserva Ben Read, direttore per la sicurezza informatica presso Mandiant Fire Eye -. Quindi trovano le criptovalute nel portafoglio dell’utente e le liquidano”. A febbraio, tre hacker nordcoreani sono stati arrestati negli Stati Uniti accusati di aver rubato l’equivalente di 1,3 miliardi di dollari in criptovaluta. Questi hacker sono la mano armata del regime. All’inizio le loro offensive miravano a difendere pubblicamente il regime attaccando i suoi nemici. Sono un esempio di questa strategia i tentativi di attacco contro la Casa Bianca, la presidenza sudcoreana o gli studios della Sony Pictures, colpevoli, agli occhi di Pyongyang, di aver prodotto un film sull’assassinio di Kim Jong-un nel 2014. Questo uso “ideologico” dell’esercito di hacker sembra ridursi nel tempo. Dall’inizio della crisi sanitaria, sono stati presi di mira soprattutto i laboratori che lavorano sul vaccino, l’anglo-svedese AstraZeneca, il sudcoreano Celltrion e, secondo Reuters, anche Pfizer. Gli attacchi digitali permettono inoltre di raccogliere informazioni sulle innovazioni che si fanno all’estero. A questo erano probabilmente finalizzati gli attacchi contro l’industria degli armamenti nell’Europa dell’est o a una centrale nucleare indiana nel 2019. Gli hackers nordcoreani sono organizzati in gruppi. Simon Choï è riuscito a elaborare un quadro della loro organizzazione. “Siamo una ONG e le nostre risorse sono limitate, ma i servizi di intelligence hanno identificato sei gruppi distinti, che comprendono tra le 1.200 e le 1.300 persone molto attive e almeno 5.000 collaboratori”. Il dispositivo degli attacchi informatici sarebbe distribuito su almeno tre entità statali note. Il Reconnaissance General Bureau, i servizi segreti nordcoreani, controllerebbero i due gruppi più importanti, che rispondono agli acronimi RGB3 e RGB5, rispettivamente Lazarus e Kimsuky, i più attivi e conosciuti specialisti del settore. Sembra che il primo abbia accesso a dei server a Pyongyang e che sarebbe responsabile degli attacchi hacker più noti, quelli appunto alla Banca Centrale del Bangladesh e agli studios di Sony, oltre al caso WannaCry del 2017. Sono insomma gli esperti dei colpi grossi ai danni delle organizzazioni importanti. Da parte loro, gli hacker di Kimsuky si sarebbero stabiliti nelle città cinesi di confine, Dalian, Dandong o ancora Shenyang. Rispetto a Lazarus, sono meno visibili, poiché prendono di mira le singole persone per poi accedere alle risorse delle istituzioni.
I loro recenti tentativi si sono concentrati su Celltrion, il laboratorio farmaceutico sudcoreano, oltre che su Novavax e AstraZeneca. Altri gruppi operano sotto la guida del ministero della Difesa nordcoreano (il ministero delle Forze armate popolari) che, secondo Simon Choï, è dietro l’operazione di hacking contro la centrale nucleare indiana nel 2019. Infine, il ministero nordcoreano della Sicurezza di Stato si concentrerebbe essenzialmente sulla vicina Corea del Sud. “È molto difficile determinare esattamente dove operano, le possibilità sono diverse – ossserva Ben Read -. Al contrario possiamo identificarli con un livello di certezza abbastanza alto. Bisogna osservare in quale fascia oraria operano, che tipo di linguaggio e che metodi usano”. Si potrebbe pensare che questa intensa attività degli hacker nordcoreani esponga il paese a ritorsioni online. Ma è qui che l’isolamento e l’arretratezza economica della Corea del Nord diventano paradossalmente dei punti di forza. Con poco più di 1.000 indirizzi IP per 25 milioni di abitanti, la Corea del Nord sembra meno permeabile alle offensive dei pirati informatici rispetto ai suoi nemici. Infatti, se meno persone sono connesse a Internet, anche le falle del sistema sono meno numerose. Secondo Simon Choï, è dunque “molto difficile introdursi” nella rete del paese, che prende il nome di “Kwangmyong” (letteralmente “luce brillante”) ed è basata per lo più sul sistema intranet. “Ma – aggiunge l’esperto – una volta che si riesce a entrare, penso che sia molto più vulnerabile”.