Crypto hacking e Corea del Nord: separare i fatti dalla finzione

La Repubblica Popolare Democratica di Corea è ampiamente riconosciuta come uno sponsor statale dietro a hack e furti di criptovalute. Mentre diversi presidenti statunitensi hanno cercato di soffocare lo sviluppo dell’energia nucleare in Corea del Nord attraverso una serie di sanzioni, la guerra informatica è un nuovo fenomeno che non può essere affrontato con mezzi tradizionali.

Sfortunatamente per il settore crypto, la DPRK si è affezionata alle valute digitali e sembra aver intensificato con successo le operazioni legate al furto e al riciclaggio di criptovalute per bypassare sanzioni economiche paralizzanti che hanno sprofondato lo stato paria in condizioni di estrema povertà.

Alcune prove suggeriscono che Pyongyang abbia accumulato oltre due miliardi di dollari statunitensi attraverso attacchi ransomware, hack e persino rubando crypto direttamente dal pubblico tramite una gamma di truffe altamente sofisticate relative al phishing. Diverse fonti spiegano che il regime utilizza varie tattiche per convertire i fondi rubati in crypto, anonimizzarli e in seguito incassarli attraverso agenti all’estero. Le autorità statunitensi hanno dato un nome all’insieme di tutte queste attività: “hidden cobra.”

Per realizzare tutto questo, non solo le operazioni devono essere supportate dallo stato, ma molti esperti altamente qualificati devono essere coinvolti nel processo per portare a termine i furti con successo. Quindi, la DPRK dispone davvero dei mezzi e delle capacità per sferrare una campagna di attacchi informatici su scala globale, anche se la leadership del paese ammette apertamente che la nazione versa in uno stato di rovina economica?

Quanto hanno rubato esattamente gli hacker?

Il 2020 continua il pattern dei numerosi aggiornamenti sulle somme che gli hacker supportati dalla DPRK avrebbero rubato. Un report delle Nazioni Unite pubblicato nel 2019 afferma che la Corea del Nord ha sottratto circa 2 miliardi di dollari da crypto exchange e banche.

Le stime più recenti sembrano indicare che la somma è compresa tra 1,5 e 2,5 miliardi di dollari. Queste cifre suggeriscono che, sebbene i dati esatti siano difficili da reperire, gli attacchi informatici sono in aumento e stanno fruttando più fondi ogni anno. Inoltre, i diversi rapporti su nuovi ransomware, hack sofisticati e vettori di attacco innovativi supportano queste conclusioni.

Madeleine Kennedy, responsabile senior delle comunicazioni presso la società di analisi crypto Chainalysis, ha spiegato a Cointelegraph che la stima minore è probabilmente troppo bassa:

“Siamo convinti che abbiano rubato più di 1,5 miliardi di dollari in criptovalute. Sembra probabile che la DPRK investa direttamente in questa attività, poiché sono state campagne di grande successo.”

Tuttavia, Rosa Smothers, vicepresidente senior dell’azienda di sicurezza informatica KnowBe4 ed ex agente tecnico della CIA, ha rivelato a Cointelegraph che nonostante le recenti accuse del Department of Justice statunitense, secondo cui gli hacker nordcoreani avrebbero rubato quasi 250 milioni di dollari da due exchange di criptovalute, la cifra totale potrebbe non essere così elevata, aggiungendo:

“Considerando la recente ammissione pubblica da parte di Kim Jong-un sulla drammatica situazione economica del paese, una stima da 1,5 miliardi di dollari mi sembra esagerata.”

Come operano i gruppi di hacker?

Non è molto chiaro come esattamente questi gruppi di hacker nordcoreani sono organizzati e dove si trovano, in quanto nessuno dei rapporti offre un quadro definitivo. Di recente, il Department of Homeland Security degli Stati Uniti ha affermato che un nuovo gruppo di hacker sponsorizzato dalla DPRK, denominato BeagleBoyz, è ora attivo sulla scena internazionale. Il nucleo è considerato un’entità a sé stante affiliata al noto gruppo Lazarus, che molti ritengono responsabile di diversi attacchi informatici di alto profilo. Il DHS crede che dal 2015 BeagleBoyz abbia tentato di rubare quasi 2 miliardi di dollari, prendendo di mira principalmente infrastrutture bancarie come ATM e il sistema SWIFT.

Secondo Ed Parsons, direttore generale per il Regno Unito di F-Secure, “‘BeagleBoyz’ sembra essere il nome attribuito dal governo statunitense a un recente insieme di attività che hanno preso di mira enti finanziari nel 2019/2020,” aggiungendo che non è possibile sapere se l’unità è effettivamente nuova o “un nuovo nome legato a una campagna inizialmente anonima in seguito collegata ad attività della DPRK.” Proseguendo, ha spiegato a Cointelegraph che i campioni di malware sono stati associati a quelli di “hidden cobra,” il nome in codice usato dal governo statunitense per identificare le attività online della DPRK.

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti afferma che le attività connesse a hidden cobra sono state segnalate nel 2009 e inizialmente avevano l’obiettivo di sottrarre informazioni o ostacolare processi. I principali vettori d’attacco sono “botnet DDoS, keylogger, strumenti di accesso remoto (RAT) e malware wiper,” e prendono di mira vecchie versioni di Microsoft Windows e software Adobe. In particolare, gli hacker di hidden cobra utilizzano un’infrastruttura botnet DDoS conosciuta come DeltaCharlie, associata a più di 600 indirizzi IP.

John Jefferies, chief financial analyst di CipherTrace, una società di analisi blockchain, ha spiegato a Cointelegraph che sono presenti diversi gruppi di hacker importanti, ed è estremamente difficile distinguere l’uno dall’altro. Anastasiya Tikhonova, head of APT Research presso Group-IB, un’azienda di sicurezza informatica, ha fatto eco al commento aggiungendo che, a prescindere dal nome del gruppo collegato, i vettori di attacco sono molto simili:

“Ottengono l’accesso iniziale alle organizzazioni finanziarie prese di mira utilizzando tecniche di spear phishing, tramite email con un documento dannoso camuffato da offerta di lavoro o attraverso messaggi personali sui social media da una persona che finge di essere un imprenditore. Una volta aperto, il file dannoso scarica il NetLoader.”

Inoltre, diversi esperti hanno indicato i JS-sniffer come strumenti sempre più diffusi, solitamente collegati al gruppo Lazarus. I JS-sniffer sono formati da codice dannoso progettato per rubare dati di pagamento da piccoli negozi online, un attacco in cui vengono rivelate le informazioni personali di tutte le parti coinvolte nella transazione.

Nel complesso, i gruppi di hacker sembrano aver perfezionato l’uso di un insieme particolarmente specifico di strumenti incentrati sul phishing, per mezzo di cui ignari dipendenti della compagnia colpita installano il software infetto che in seguito si diffonde su tutto il sistema aziendale puntando sulle funzioni fondamentali. Gli esempi più notevoli di attività sospette sono l’hack del 2014 ai danni di Sony Pictures e la diffusione del malware WannaCry nel 2017.

Secondo varie fonti, la maggior parte degli attacchi informatici viene eseguita seguendo standard elevati, con evidenti segni di lunghe preparazioni. Gli ultimi esempi nel 2020 includono un finto sito web per bot di trading creato per attirare dipendenti dell’exchange di criptovalute DragonEX, che è riuscito a sottrarre un totale di 7 milioni di dollari in crypto.

A fine giugno, un report ha avvertito che Lazarus Group cercherà di lanciare un attacco informatico specifico per il COVID-19, in cui gli hacker fingeranno di essere uffici governativi in paesi che distribuiscono sussidi economici per contrastare gli effetti della pandemia, cercando di portare incauti destinatari di email su un sito web dannoso che raccoglierà informazioni finanziarie e chiederà pagamenti in criptovalute. Inoltre, secondo un recente report, anche chi cerca lavoro nel settore crypto sembra essere a rischio. Gli hacker stanno utilizzando email simili a quelle inviate da LinkedIn per distribuire finte offerte di lavoro contenenti un file MS Word infetto.

Più rilevanti sono gli attacchi contro exchange di criptovalute. Sebbene l’esatto ammontare dei fondi rubati dalle piattaforme di trading sia sconosciuto, diversi report pubblicati da società di sicurezza informatica e varie agenzie governative collocano la cifra stimata ben oltre un miliardo di dollari. Tuttavia, solo alcuni di questi hack vedono la DPRK come il principale sospettato, con una manciata di casi ricondotti al regime. L’esempio più noto è l’attacco informatico ai danni dell’exchange giapponese Coincheck, nel quale sono stati rubati 534 milioni di dollari in token NEM.

A fine agosto 2020, un comunicato del Department of Justice statunitense ha delineato i dettagli di un’operazione per riciclare fondi rubati utilizzando criptovalute, risalenti al 2019. Si ritiene che gli hacker appoggiati dalla Corea del Nord abbiano avviato il colpo con il supporto di un’organizzazione cinese specializzata nel riciclaggio di denaro sporco. I due cittadini cinesi in questione hanno usato il metodo “peel chain” per riciclare 250 milioni di dollari attraverso 280 wallet digitali differenti, nel tentativo di nascondere l’origine dei fondi.

Secondo Kennedy, i gruppi di hacker collegati alla DPRK stanno effettivamente diventando sempre più sofisticati negli attacchi informatici e nel riciclaggio di denaro: “In particolare, questi casi hanno evidenziato il loro utilizzo di 'chain hopping,' ovvero lo scambio in altre criptovalute come le stablecoin. In seguito, convertono i fondi riciclati in Bitcoin.” Chain hopping si riferisce a un metodo in cui le criptovalute tracciabili vengono convertite in privacy coin come Monero o Zcash.

Commentando l’apparente successo degli hacker, Parsons ha affermato che:

“Il ridotto spazio/accesso IP all’internet nella DPRK, insieme alla sua natura meno connessa a sistemi globali/online, offre al paese un vantaggio asimmetrico in materia di operazioni informatiche.”

In un’intervista a Cointelegraph, Alejandro Cao de Benos, un delegato speciale del Committee for Cultural Relations with Foreign Countries della DPRK ha respinto le accuse secondo cui il paese sarebbe dietro ad attacchi informatici crypto, dichiarando che si tratta di una “grande campagna di propaganda” contro il governo:

“Solitamente la DPRK viene descritta nei media come un paese arretrato senza accesso a internet e senza nemmeno l’elettricità. Ma al tempo stesso accusano sempre di avere una capacità superiore, una connettività più veloce, computer ed esperti migliori delle principali banche o agenzie governative statunitensi. Non ha alcun senso da un punto di vista logico e tecnologico elementare.”

Quali sono le dimensioni del gruppo hacker, e dove si trova?

Un’altra cifra su cui vari report e studi non riescono a concordare sono le dimensioni del gruppo di hacker presumibilmente appoggiato dal governo nordcoreano. Di recente, il report dell’esercito statunitense “North Korean Tactics” ha affermato che il numero è pari a 6.000 agenti, sparsi principalmente in Bielorussia, Cina, India, Malesia, Russia e diversi altri paesi, tutti uniti sotto la guida di un’unità di cyber warfare chiamata “Bureau 121.”

Parsons è convinto che la cifra sia stata ricavata probabilmente da stime precedenti ottenute da un disertore fuggito dalla DPRK nel 2004, ammettendo però che: “la cifra potrebbe essere stata generata dall’intelligence interna statunitense non attribuibile pubblicamente.” Tikhonova ha concordato che è difficile valutare le dimensioni dell’organizzazione: “diversi report possono fornire indizi sulla strategia di ‘reclutamento’ del regime,” ha spiegato. Ha poi dichiarato:

“I nordcoreani attirerebbero studenti dalle università. Inoltre, alcuni hacker nordcoreani sono stati reclutati mentre lavoravano per aziende informatiche in altri paesi. Per esempio, Park Jin Hyok, un presunto membro del Lazarus APT ricercato dall’FBI, ha lavorato per la compagnia Chosun Expo con sede a Dalian, in Cina.”

Smothers ha espresso più scetticismo sulle conclusioni del report, commentando però che: “È in linea con le informazioni del Ministero della difesa sudcoreano, che pochi anni fa ha collocato il numero a 3.000,” aggiungendo che se qualcuno possiede informazioni di questo genere, è la Corea del Sud. Alla domanda sulle modalità di organizzazione e alla sede del gruppo di criminali informatici, anche lei ha riconosciuto che la maggior parte degli hacker dovrebbero essere sparsi per il mondo “data la banda limitata in Corea del Nord.”

Jefferies ritiene inoltre che “gli hacker nordcoreani sono sparsi in tutto il mondo, un privilegio riservato a pochissimi nel paese,” aggiungendo che nella maggior parte dei casi gli attacchi attribuiti alla Corea del Nord non vengono effettuati da hacker su commissione. Tikhonova ha fornito una possibile ragione alla base di entrambe le affermazioni, spiegando:

“È improbabile che avrebbero dato a qualcuno l’accesso alla loro lista di potenziali target o ai loro dati considerando la sensibilità delle operazioni, quindi vengono effettuate autonomamente dai nordcoreani.”

Cosa si può fare per fermare gli hacker?

Sembra che, finora, identificare i movimenti di denaro o alcune delle terze parti sia l’unica cosa realizzata con successo, per lo meno pubblicamente. Un report rilasciato da BAE Systems e SWIFT ha persino delineato come i fondi rubati dal Lazarus Group vengono elaborati tramite mediatori est-asiatici, eludendo le procedure Antiriciclaggio di alcuni crypto exchange.

Jefferies è convinto che sia necessario fare di più a tale proposito

“Le autorità devono mettere in atto e applicare leggi antiriciclaggio per le criptovalute e normative Travel Rule per garantire che le transazioni sospette vengano segnalate.”

Inoltre, ha sottolineato l’importanza delle garanzie offerte dalle autorità per fare in modo che i fornitori di servizi su asset virtuali implementino misure Know Your Customer adeguate:

“Una tattica nota utilizzata dai riciclatori di denaro professionisti supportati dalla Corea del Nord era l’uso di documenti falsi per creare account su diversi exchange. Gli exchange con misure di controllo KYC si sono dimostrati in grado di individuare meglio questi conti fraudolenti e prevenire l’abuso dei propri network di pagamento.”

Secondo le informazioni rivelate dal DOJ degli Stati Uniti, chi ricicla denaro prende di mira gli exchange con requisiti KYC più deboli. Sebbene non figuri il nome di nessuna piattaforma, sono probabilmente exchange più piccoli attivi esclusivamente nel mercato asiatico. Un altro problema in questo contesto è l’incapacità di intervenire di alcune autorità quando sono coinvolte compagnie esterne alla loro giurisdizione, come sottolinea Smothers:

“La natura globale di questi exchange, così come gli operatori OTC (trading di criptovalute over-the-counter) cinesi, limita l’abilità del nostro Dipartimento di Giustizia nell’intervenire rapidamente. Per esempio, a marzo il DOJ ha presentato una causa civile, ma gli operatori OTC cinesi hanno prelevato tutti i fondi dagli account target poche ore dopo il comunicato del DOJ.”

Tuttavia, come segnalato da un report pubblicato nel 2019 da Chainalysis, ciò che complica ancora di più le cose è il fatto che chi ricicla i fondi potrebbe impiegare mesi, se non anni, per completare il processo. Secondo gli autori, gli attacchi avevano finalità economiche, in quanto le crypto rubate potevano rimanere intoccate in wallet fino a 18 mesi prima di essere trasferite per paura di essere identificati.

I ricercatori credono che, dal 2019, le tattiche impiegate dai criminali siano cambiate per consentire prelievi più rapidi attraverso l’uso estensivo dei mixer di criptovalute per nascondere la fonte dei fondi. Kennedy ha approfondito:

“Non possiamo descrivere con certezza le ragioni dietro queste tecniche, ma abbiamo notato che queste entità spesso fanno circolare i soldi da un hack, poi si fermano per concentrarsi sullo spostare fondi da un altro hack, e così via. Gli exchange di criptovalute hanno svolto un ruolo decisivo nelle indagini, e il settore pubblico e privato stanno collaborando per affrontare le minacce poste da questi hacker.”

Quanto è grave la situazione?

Discutendo della DPRK, è difficile evitare i temi delle violazioni dei diritti umani e del programma nucleare che il paese starebbe continuando a portare avanti, nonostante l’inasprimento delle sanzioni economiche.

In questo senso, il governo dinastico guidato dal leader supremo Kim Jong-un è considerato una minaccia notevole per il mondo, anche se per ora questa posizione è dovuta alle aspirazioni nucleari del regime. Sebbene gli attacchi informatici non abbiano nella maggior parte dei casi conseguenze negative dirette per la vita umana, queste operazioni forniscono una costante fonte di guadagno con cui lo stato può continuare a consolidare i suoi ideali e i suoi obiettivi.

Tuttavia, risulta forse ancora più preoccupante il fatto che, secondo vari commentatori citati in questo articolo, i gruppi di hacker presumibilmente appoggiati dal regime nordcoreano continuano a espandersi e ampliare le proprie operazioni, in quanto i metodi utilizzati si stanno rivelando estremamente validi. Secondo Jefferies:

“Non sorprende che continuino a sviluppare e investire nelle loro capacità informatiche.”