Nel 2016, attori che si pensa essere nordcoreani, hanno utilizzato le loro capacità di intrusione per condurre attività cyber criminali, colpendo banche e sistemi finanziari globali”.
È quanto sostiene FireEye, azienda di cyber sicurezza che sarà presente a Roma per la seconda edizione di Cybertech Europe, evento internazionale dedicato alle soluzioni di cyber security che si svolgerà il 26 e 27 settembre presso il centro congressi ‘La Nuvola’.
Questo tipo di azioni attribuite a Pyongyang, prosegue una nota della compagnia statunitense, avrebbe “segnato un allontanamento dall’attività precedentemente osservata di attori nordcoreani che utilizzavano tradizionalmente lo spionaggio informatico per attività ‘Nation-State’. Tuttavia, data la posizione della Corea del Nord come nazione parìa, tagliata fuori da gran parte dell’economia globale – così come una nazione che impiega un reparto governativo per condurre attività economiche illecite – questo”, rileva FireEye, “non è così sorprendente”.
Con “lo stretto controllo della Corea del Nord sulle sue capacità militari e di intelligence”, evidenzia Marco Rottigni, consulting system engineer Southern Europe di FireEye, “è probabile che questa attività sia stata condotta per finanziare le casse statali o personali dell’élite di Pyongyang, dato che le sanzioni internazionali lo hanno costretto ad un ‘Regno Eremita’. Assistiamo ora”, prosegue l’esperto, “ad una seconda ondata di questa campagna: attori state-sponsored che cercano di rubare bitcoin e altre valute virtuali come mezzo per eludere le sanzioni e ottenere valute solide per finanziare il regime”, . “Da maggio 2017 osserviamo che gli attori Nordcoreani hanno preso di mira almeno tre agenzie sudcoreane di scambio di criptovalute, con l’intento sospetto di rubare fondi”.
Lo spearphishing che FireEye ha osservato in questi casi, si sottolinea ancora nella nota, “è spesso indirizzato ad account email personali di impiegati presso borse di cambio di valute digitali, sovente utilizzando esche a tema fiscale e diffondendo malware (PEACHPIT e varianti simili) legati ad attori Nordcoreani sospettati di essere responsabili di intrusioni in diverse banche mondiali nel 2016”. A questo si aggiungerebbe, secondo FireEye, “il legame tra gli operatori nordcoreani e una compromissione watering hole di un sito di notizie sui bitcoin nel 2016, nonché almeno un’istanza di utilizzo di un minatore occulto di criptovaluta; si comincia insomma a vedere un quadro dell’interesse nordcoreano per le criptovalute, una classe di beni in cui il bitcoin da solo è aumentato di oltre il 400% dall’inizio di quest’anno”.
Eppure, mentre i bitcoin e le agenzie di criptovalute, rimarca la compagnia Usa, “possono sembrare bersagli inusuali per gli attori Nation-State interessati a finanziare le casse dello Stato, altri sforzi illeciti della Corea del Nord danno un ulteriore dimostrazione dell’interesse nel condurre crimini finanziari per conto del Regime”.
Ad esempio, prosegue il report della società di cyber sicurezza, “il reparto 39 della Corea del Nord è coinvolto in attività quali contrabbando di oro, contraffazione di valuta estera e persino gestione di ristoranti. Oltre a concentrarsi sul sistema bancario globale e sulle borse di criptovalute, un recente rapporto di un istituto sudcoreano ha evidenziato il coinvolgimento degli attori nordcoreani nel colpire i bancomat con malware; diventa quindi possibile anche il sostegno di finalità simili. Se gli attori compromettono una borsa, a differenza di un conto individuale o di un portafoglio”, dice ancora FireEye, “essi possono potenzialmente spostare criptovalute al di fuori dei portafogli online, scambiarle con altre – più anonime – criptovalute oppure inviarle direttamente ad altri portafogli su differenti agenzie di cambio, per poi ritirarle in moneta legale come il Won Sudcoreano, il Dollaro Statunitense o il Renminbi Cinese. Poiché l’ambiente di regolamentazione attorno alle criptovalute è ancora da attuare, alcune borse in differenti giurisdizioni potrebbero avere controlli anti riciclaggio più leggeri che facilitino questo processo e rendano gli scambi una tattica attraente per chiunque cerchi una valuta solida”.
Alla base di questo cambio di strategia, spiega Rottigni, ci sarebbe anche il fatto che “nell’ultimo anno il valore di bitcoin e di altre criptovalute è aumentato” e, per questo, “gli attori nation-state stanno iniziando a interessarsene. Recentemente, un consulente del presidente Putin in Russia ha annunciato piani di raccolta fondi per aumentare la quota Russa di produzione di bitcoin; i senatori del parlamento australiano hanno invece proposto lo sviluppo di una propria criptovaluta nazionale. Di conseguenza, conclude l’analisi, “non dovrebbe sorprendere che le criptovalute, in quanto asset emergente, stiano diventando un bersaglio di interesse da parte di un regime che opera per molti versi come un’impresa criminale. Mentre attualmente la Corea del Nord è un po’ diversa sia per quanto riguarda la loro volontà di impegnarsi nel crimine finanziario sia per il possesso di capacità di spionaggio informatico, l’unicità di questa combinazione non durerà probabilmente a lungo: le crescenti potenze informatiche potrebbero infatti vedere un potenziale interessante. I cyber criminali potrebbero non essere più gli unici attori funesti in questo spazio”.
