Pyongyang ha cominciato gli attacchi ai siti di scambio di bitcoin a maggio del 2017
La Corea del Nord punta ai bitcoin e alla cryptovaluta per cercare di finanziare i suoi programmi nucleari e balistici ICBM. Lo ha rivelato l’azienda di cybersecurity FireEye, specificando che hacker legati a Pyongyang stanno prendendo di mira gli scambi di moneta digitale per trarre profitti immediati. I cyber attacchi, cominciati a maggio del 2017, fanno parte della campagna di furti informatici del regime di Kim Jong-un, avviata nel 2016 contro le banche e il sistema finanziario mondiale. A ciò si aggiunge il fatto che il valore dei Bitcoin da inizio dell’anno è decollato e di conseguenza questi sono diventati un bersaglio molto appetibile.
Come funziona la campagna di cyber attacchi del regime di Kim Jong-un
I cyber attacchi degli hacker di stato della Corea del Nord avvengono soprattutto con campagne di spear-phishing. Queste sono dirette in particolare contro account email personali di impiegati presso digital currency exchanges. L’esca più usata è quella di messaggi legati alle tasse, in modo da incuriosire le vittime ad aprire allegati malevoli e di conseguenza a scaricarli. Il malware preferito è PEACHPIT e alcune sue varianti, già collegati in passato alle attività cyber del regime di Kim Jong-un. Le aggressioni informatiche prima hanno colpito un unico sito di trading di bitcoin e cryptovaluta. Poi, dai primi di giugno, sono state almeno 3 le aziende del settore attaccate in Corea del Sud e diverse altre in tutto il mondo. Il legame che gli hacker di Pyongyang cercavano era sempre il fatto che trattassero moneta digitale. Si punta a traferire i bitcoin in wallet anonimi per poi cambiarli su altri siti.
Si sospetta la Corea del Nord per il maxi attacco alla piattaforma Coinbase con il trojan TrickBot
Recentemente, peraltro, c’è stato un maxi cyber attacco alla piattaforma di scambio di bitcoin e cryptovaluta Coinbase. Non ci sono certezze, ma si sospetta che dietro all’azione di siano gli hacker della Corea del Nord. Nell’azione è stato usato il trojan TrickBot, nato sulle ceneri del malware Dyre. Questo era stato sviluppato da un gruppo di cyber criminali, alcuni dei quali furono arrestati alla fine del 2015 in Russia. Altri, però, sono ancora a piede libero e potrebbero aver affittato la variante (Trojan-as-a-service, TAAS) a Pyongyang. Il tool malevolo, infatti, è stato scoperto solo alla fine di agosto a seguito di una massiccia campagna di distribuzione in corso. Proprio quando le tensioni tra il regime di Kim Jong-un e la comunità internazionale si sono acuite, culminando con lo scambio di minacce reciproche e con l’ennesimo lancio di razzi dal paese asiatico.
L’analisi di FireEye sull’interesse della Corea del Nord per i bitcoin e la cryptovaluta