Per Kim Jong-un “la guerra cibernetica è una spada multiuso che garantisce alle forze armate del popolo nordcoreano una capacità di attacco spietata, insieme alle armi nucleari e ai missili”. Pare abbia affermato questo, nel 2013, il leader di Pyongyang durante una sua apparizione pubblica.
La stampa occidentale talvolta è abituata a ridicolizzare e a descrivere le esuberanze del leader nordcoreano come assunti della sua “singolare” personalità. Eppure occorre prendere con le molle gli effetti della sua vivacità.
In questi giorni le autorità della Corea del Nord hanno annunciato che sarà vietato ai propri cittadini di emulare le scelte di moda di Kim Jong Un, quali ad esempio indossare trench in pelle, in quanto irrispettoso nei suoi confronti. Fatto che farà certamente sorridere, ma se preso nella sua dimensione se ne potrà cogliere il suo significato intrinseco. Gli abiti in pelle in North Korea sono costosissimi e anche se si è iniziato a commercializzare dalla Cina la finta pelle per riprodurli, continuano comunque a essere troppo dispendiosi rispetto al reddito pro capite dei suoi cittadini. Un cittadino nordcoreano guadagna in media 4.000 won al mese, che è una cifra alquanto lontana dagli 80.000 won del capo in similpelle.
E poi c’è il rovescio della medaglia. Sempre in questi giorni, si è diffusa la notizia che un cittadino nordcoreano è stato condannato a morte innanzi al plotone d’esecuzione per aver contrabbandato ad alcuni studenti delle scuole superiori copie, su penne Usb, della celebre serie “Squid Game” trasmessa su Netflix. Quest’ultima è vietata in North Korea. Lo studente che per primo ha acquistato e distribuito a scuola il contenuto video è stato condannato all’ergastolo (si dice sia stato salvato dalla pena capitale dai suoi genitori che hanno corrotto le autorità). Gli altri studenti coinvolti sono stati invece relegati ai lavori forzati per cinque anni.
No, non si scherza con i regolamenti imposti dal regime coreano.
Quando poi nel mondo occidentale, i leader politici, i diplomatici, gli esperti militari e i guru della cyber warfare descrivono il temperamento di Kim come quello di un uomo irrazionale, è evidente che non hanno ben realizzato la dimensione del contesto in cui i fatti avvengono. Infatti, occorre esaminare le sue azioni sotto la lente della strategia politica e militare nordcoreana, laddove gli obiettivi nazionali e le percezioni di sicurezza devono essere sempre presi nella loro accezione più ampia.
Così come il programma informatico militare della Corea del Nord che, grazie alla sua attuale potenza di attacco, rappresenta una crescente minaccia per tutto il mondo.
Fonte: AFP
I leaders nordcoreani vedono il cyberspazio come parte integrante della loro strategia militare, definendo questo “il quinto grande campo di battaglia” insieme a terra, aria, mare e spazio.
Gli esperti informatici militari sono arruolati tra i giovani più talentuosi della Corea del Nord, selezionati e addestrati appena compiono i 17 anni di età.
La Corea del Nord ha oggi al suo attivo almeno 7000 “Cyber Warriors”.
Pyongyang possiede l’expertise per causare interruzioni temporanee e limitate sulle infrastrutture critiche o interrompere le reti aziendali sia in Corea del Sud che negli Stati Uniti, così come in Giappone, a giudicare dai suoi exploit durante l’ultimo decennio. Come potrebbe anche essere in grado di condurre operazioni che mirano a compromettere le catene di fornitura del software.
La Corea del Nord ha riciclato criptovaluta proveniente da reati informatici contro le istituzioni finanziarie di tutto il mondo. Sono stati sottrati dai cybercriminali coreani centinaia di milioni di dollari, probabilmente allo scopo di finanziare le priorità del suo governo, come i programmi nucleari e missilistici.
Tutto ciò sembrerebbe sorprendente ai più, ossia che un paese dove i suoi cittadini vivono generalmente sotto la soglia della povertà, possa avere una tale padronanza dell’informatica e della rete Internet.
Fonte: northkoreatech.org
In realtà nelle zone rurali della Corea del Nord probabilmente non sanno nemmeno cosa sia Internet, ma nella capitale Pyongyang ed in qualche altra grande città, dove abitano i nordcoreani più agiati o negli ambienti universitari ed in qualche cyber cafè, il termine “Kwangmyong” è di uso quotidiano. In coreano significa “stella luminosa” ed è l’intranet ufficiale della Corea del Nord. È una rete chiusa, che somiglia alla nostra Internet del 1994, e che gira su piattaforme piratate giapponesi di Microsoft. Gli account di posta elettronica ed i browser sono rudimentali in confronto a quelli dei giorni nostri, e sono accessibili poche decine di siti web registrati su domini .kp. Naturalmente per accedere alla rete serve un computer, ma questo è possibile solo con il permesso ufficiale governativo. Gli unici computer “legali” sono prodotti localmente da Morning Panda, un’azienda gestita dal governo che produce solo poche migliaia di computer all’anno, mentre l’hardware esterno è assolutamente illegale.
E poi c’è una piccola élite di fortunati (i leaders governativi, gli hackers militari, i laboratori di ricerca, ecc), costituita da poche migliaia di persone, che usa Internet come noi lo conosciamo. Per evitare poi che queste persone disertino dal loro paese una volta che aprono la “finestra del mondo”, vengono concesse loro agevolazioni quali alti stipendi, alloggi governativi di fascia alta e molto prestigio.
Infine, troviamo una manciata di persone altolocate (Kim e la sua famiglia ad esempio) che utilizza Internet in maniera “ricreativa” (Facebook, film, libri, tecnologia proibita, beni di lusso proibiti, cibi e alcol introdotti di nascosto per il loro piacere), ma semplicemente perché non vive la dimensione dei suoi connazionali.
Le connessioni fisiche di internet viaggiano su un’unica linea che si connette all’agenzia statale cinese di telecomunicazioni Unicom e da qui al mondo esterno. Tuttavia la Corea del Nord ha iniziato ad implementare connessioni satellitari attraverso la società russa SatGate ad Hong Kong e gestita dai provider cinesi.
Ma una delle ragioni principali per cui la Corea del Nord usa Internet è la cyberwarfare. Pyongyang sa che non avrebbe nessuna chance in un conflitto convenzionale contro Stati Uniti e Corea del Sud, ed è per questo che usa il suo deterrente cibernetico in maniera assolutamente asimmetrica. Ciononostante gli attacchi informatici nordcoreani hanno origine non dall’interno del paese ma dall’estero, in particolare da Indonesia, Malesia, Nepal, Kenya, Nuova Zelanda, India e Mozambico ad esempio.
Ma non è sempre stato così…
Nel tempo l’intelligence della Corea del Nord ha man mano mutato la sua strategia militare asimmetrica, passando dai canonici ambiti fondati sulle attività criminali e terroristiche e specializzandosi sempre più nei crimini informatici, quali attacchi distruttivi, ransomware e altro.
All’indomani della guerra di Corea, Pyongyang rimase confinata a livello internazionale stretta com’era tra le alleanze statunitensi con il Giappone, l’Australia e la Nuova Zelanda. Le sanzioni e l’isolamento internazionale alimentarono l’odio antiamericano e contro Seoul.
Fonte: militaryhistorynow.com
Le attività terroristiche diventarono una pratica comune per i servizi segreti nordcoreani tra cui: il “Raid della Casa Blu”, ovvero il tentativo di assassinare il presidente sudcoreano Park Chung Hee nella sua residenza nel 1968; l’attentato nella capitale birmana di Rangoon nel 1983, quando ad essere preso di mira fu l’allora presidente sudcoreano Chun Doo Hwan durante una missione diplomatica; l’attentato, per ordine diretto del leader Kim Jong-il, al volo 858 della Korean Airline, diretto da Baghdad a Seoul, dove nel 1987 perirono tutti i 115 civili a bordo.
Dall’inizio degli anni ‘90 la tipologia delle “azioni di intelligence” della Corea del Nord mutarono, dal terrorismo internazionale verso le attività criminali illecite più disparate (produzione e spaccio di droga, falsi monetari, contrabbando a tutti i livelli, ecc), sicuramente più redditizie e capaci di autofinanziare lo Stato centrale con maggiore efficacia. All’epoca la fine della Guerra fredda, i mancati finanziamenti da parte di paesi amici come la Russia e la Cina, le sanzioni internazionali, la carestia e il crollo dell’economia, favorirono questa nuova svolta.
Pur rappresentando la Corea del Nord una frazione infinitesimale nella produzione di oppio grezzo tra i paesi asiatici, con le attività illecite che ne derivano Pyongyang riusciva a garantire un sostentamento allo Stato di quasi 1 miliardo di dollari l’anno. La sua ampia rete di contrabbando è gestita dall’esercito e dai servizi di intelligence e si appoggia prevalentemente ad organizzazioni criminali internazionali di sede a Taiwan, nelle Filippine e in Giappone.
Anche il ricorso alla contraffazione in Corea del Nord è legato nel tempo al crescente isolamento internazionale, che ha fatto letteralmente crollare la sua economia. Chi non ricorda gli eclatanti falsi di banconote americane che hanno portato alla circolazione della “supernote”? Intorno agli anni ‘70 i servizi nordcoreani avevano fatto circolare una banconota statunitense contraffatta da 100 dollari. Le banconote da 1 dollaro venivano, attraverso particolari procedure con derivati chimici, sbiancate e ristampate appunto nella loro versione definitiva da 100 dollari (o da 50). Molti anni dopo (nel 2006), gli Stati Uniti addossarono la responsabilità di questa pratica criminale alla Corea del Nord.
Ma come è ovvio la Corea del Nord non riconobbe mai tutte le obiezioni che furono sollevate nei suoi confronti, in una sorta di negazionismo convinto, probabilmente perché se avesse rivendicato ognuna di queste condotte criminose ci sarebbero stati i presupposti per una dichiarazione di guerra da parte degli Stati Uniti e della Corea del Sud nei suoi confronti. Fatto questo che Pyongyang non si poteva permettere, perché comunque in una posizione di inferiorità palese.
I servizi nordcoreani subirono una profonda ristrutturazione a partire dal 2009, dando così vita al Reconnaissance General Bureau – RGB (ad alcuni noto come Unità386). Pur essendo alle dipendenze delle Forze armate coreane, Korean People’s Army – KPA, il RGB ha mantenuto un’ampia discrezione operativa sia come intelligence esterna ma anche come centro di comando di tutte le attività “illecite” e di guerra asimmetrica. Di fatto è anche l’organizzazione di controllo di tutte le attività informatiche. Insieme al General Staff Department sono subordinati alla Commissione degli Affari di Stato presieduta da Kim Jong-un.
Fonte: futurefive.co.nz
Il RGB sarebbe formato da sette uffici, compreso il Bureau 121.
Il Bureau 121 è la formazione d’elite dell’esercito nordcoreno ed è composto da esperti cyber tra i più talentuosi della Corea del Nord. I suoi adepti vengono scelti tra i 100 migliori laureati all’Università di Automazione di Pyongyang, dopo cinque anni di studi. La maggior parte delle operazioni di guerra elettronica e cyberspazio si svolgono all’interno della “Cyber Warfare Guidance Unit” che è l’altro nome del Bureau 121.
Ai cyber criminali nordcoreani sono state addebitate una vasta gamma di attività illecite e distruttive sia in patria che all’estero. I primi cyber attacchi iniziarono nei primi anni del 2000, in cui venivano cancellati dischi, diffusi malware, condotto attacchi DDoS, diventando essi sempre più determinanti contro reti sempre più significative.
Nel 2013 vennero presi di mira i media e le istituzioni finanziarie sudcoreane e furono messi fuori servizio almeno 50 mila computer e server sudcoreani per diversi giorni presso cinque banche ed emittenti televisive. Nel 2014 in stile “stuxnet”, furono colpite centrali idroelettriche, reattori nucleari e decine di altre infrastrutture critiche, con il rischio di causare effetti dirompenti.
Cyberattacks all’industria dell’intrattenimento e dello spettacolo: basti pensare all’exploit nei confronti della Sony Pictures Entertainment nel novembre 2014, dove i criminali vollero infliggere una lezione alla casa produttrice per aver creato e trasmesso il film “The Interview”, la cui trama era incentrata sull’omicidio del leader nordcoreano. Oppure quello condotto nel dicembre del 2014, nei confronti di AMC Theatres. Ed ancora nel 2015, contro Mammoth Screen, dove si stava lavorando al film-serie di fantascienza che trattava di fisico nucleare inglese catturato e imprigionato nella Corea del Nord.
Attacchi contro istituti di credito: nel periodo che va dal 2015 al 2019 i criminali informatici nordcoreani tentarono di impossessarsi di quasi 1,2 miliardi di dollari tra Messico, Malta, Taiwan, Vietnam, Bangladesh e il continente africano, prendendo di mira i sistemi informatici delle banche tramite i codici SWIFT. Sempre verso le banche vennero condotti prelievi fraudolenti dai FASTCash per un valore stimato di 6,1 milioni di dollari e nell’ottobre 2018 anche la BankIslami Pakistan Limited (BankIslami) cadde nella rete.
Estorsioni tramite virus e Ransomware: nel maggio 2017 comparve WannaCry (chiamato anche WanaCrypt0r 2.0), un worm ransomware che divenne ben presto il responsabile di una “pandemia informatica”, infettando in maniera dirompente i computer su cui “girava” Microsoft Windows. Una volta in esecuzione il virus criptava i file presenti sul computer richiedendo un riscatto di alcune centinaia di dollari per riaverli nuovamente decriptati. Fino al 2020 questa modalità criminale, anche tramite l’utilizzo di altri ransomware, diventò una consuetudine ed insieme ai furti di dati sensibili ebbe una crescita esponenziale.
Fonte: bitcoin.co.uk
Ambito delle criptovalute: nel periodo che va da marzo 2018 a settembre 2020 il mondo delle criptovalute entrò nel campo d’interesse dei tecnocriminali nordoreani. Vennero rilasciate in rete numerose applicazioni “malevole” di criptomining (Celas Trade Pro, WorldBit-Bot, iCryptoFx, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader e Ants2Whale), che pur comportandosi normalmente in eswecuzione, aprivano nei computer delle vittime una backdoor che veniva sfruttata a proprio piacimento dai crackers nordcoreani. Nello stesso periodo vennero perpetrati dai cyber criminali di Pyongyang numerosi furti di moneta virtuale – per un valore complessivo di decine di milioni di dollari – contro varie società che esercitavano il loro business appunto nel campo delle criptovalute. In particolare ad essere colpita fu una società slovena che denunciò l’ammanco di 75 milioni di dollari in criptovaluta. Ma anche un’altra società indonesiana perse con le stesse modalità circa 25 milioni di dollari. Nell’agosto del 2020 fu poi il turno di una società di servizi finanziari di New York – quasi 12 milioni di dollari – che venne colpita dall’applicazione malevola denominata CryptoNeuro Trader.
Campagne di spear-phishing: nel periodo da marzo 2016 a febbraio 2020 molte istituzioni statali statunitensi e decine di imprese private collegate con gli Usa, vennero letteralmente inondate da una campagna di spear-phishing. Tra queste si enumerano non esaustivamente: aziende energetiche, aziende aerospaziali, aziende tecnologiche, il Dipartimento di Stato USA, il Dipartimento della Difesa degli Stati Uniti, ecc.
Altre “strategie” di tipo finanziario: tra il 2017 e il 2018 un cybercriminale nordcoreano, noto come Kim Il, fu coinvolto nella complessa truffa del Marine Chain Token, contro inconsapevoli investitori finanziari internazionali. Egli utilizzava la blockchain per convincere le vittime ad acquistare quote di proprietà di navi cargo nordcoreane, usando appunto la moneta virtuale come un modo per eludere le sanzioni statunitensi. Un altro mezzo per procurarsi criptovaluta era quello denominato Initial Coin Offering. Una ICO è appunto un nuovo approccio di crowdfunding usato dalle società di blockchain. Esse di solito creano le loro criptovalute (o token) e le vendono al pubblico al fine di raccogliere denaro per implementare la loro blockchain. Le ICO sono un metodo di raccolta di capitale per le startup che utilizzano le criptovalute come finanziamento.
Al Reconnaissance General Bureau afferiscono una vasta gamma di gruppi hacker, sia governativi che affiliati. Essi includono (in via non esaustiva): Andariel, BeagleBoyz, Bluenoroff, The Chollima groups, Dark Hotel, Group 123, The Kimsuky group, Lazarus (anche noto come APT38), Reaper (meglio conosciuto come APT37 o Thallium) e infine Starcraft.
Lazarus è il maggiore e il più attivo tra i gruppi di tecnocriminali nordcoreani. Ha visto la luce nel 2007 e fa parte del Lab110 all’interno del Bureau121. I suoi obiettivi preferenziali sono stati il settore aerospaziale, chimico, elettronico, dell’intrattenimento e spettacolo, finanziario, militare, governativo, sanitario, delle infrastrutture e della logistica, della produzione, dei media e dell’editoria. Ha anche preso di mira le organizzazioni nordcoreane per i diritti umani in Corea e Giappone. Lazarus ha compiuto gli exploit più eclatanti tra cui quelli contro le banche sudcoreane nel 2013, la Sony Pictures Entertainment nel 2014 e l’attacco ransomware WannaCry nel 2017.
Kimsuky è nato nel 2012 con il compito di raccogliere quante più informazioni possibili a livello globale utilizzando tecniche di ingegneria sociale come il phishing, il furto di credenziali e gli attacchi del tipo “watering hole”. Gli obiettivi principali del gruppo erano rivolti soprattutto agli Usa, Corea del Sud, Giappone, ma anche i think tank, le agenzie governative e altre organizzazioni focalizzate su questioni di sicurezza nazionale e programmi nucleari.
Reaper (APT38) fin dal 2015 colpisce gli istituti finanziari e bancari al fine di estorcere denaro per gli scopi primari dello stato centrale della Corea del Nord. APT38 è coinvolto nelle vicende della Vietnam TP Bank (2015), nella Bangladesh Bank (2016), nella Far Eastern International Bank (2017), nel Bancomext (2018) e nel Banco de Chile (2018).
Andariel è coinvolto, a partire dal 2015, nei crimini di spionaggio contro imprese straniere, industrie della difesa, organizzazioni finanziarie e agenzie governative. Ha colpito più volte gli sportelli bancari di cash dispenser attraverso la clonazione di bancomat e carte di credito. Ha anche messo in circolazione sui siti online del gioco d’azzardo malware appositamente confezionati.
Bluenoroff ha pienamente anch’esso contribuito a rimpinguare le finanze dello stato centrale attraverso le sue scorribande. Appare al pubblico nel 2014 e fu impegnato nel tentativo di sottrarre valuta (anche virtuale) pari a quasi 1,1 miliardi di dollari da svariati istituti di credito siti in Bangladesh, Pakistan, India, Corea del Sud, Vietnam, Taiwan, Filippine, Turchia, Cile e Messico. Il gruppo criminale ha poi, in combutta con Lazarus, trafugato circa 81 milioni di dollari dalla Banca centrale del Bangladesh utilizzando credenziali Swift rubate. Mentre diverso esito ebbe il tentativo di estorcere altri 851 milioni di dollari che fallì per un errore banale.
Infine il gruppo Chollima, che a sua volta si compone di 4 sottogruppi differenti per target e modalità di attacco. Labyrinth Chollima, che prende di mira i servizi di intelligence stranieri; Ricochet Chollima, che ruba i dati delle vittime; Silent Chollima, si concentra sui media soprattutto sudcoreani; Stardust Chollima, che lancia attacchi contro società commerciali.
