FireEye, azienda specializzata nella cybersecurity, ha confermato di aver stoppato il 22 settembre alcune email di spear phishing contro aziende elettriche americane. I mittenti erano un gruppo di hacker affiliati a Pyongyang.
L’operazione era allo stato iniziale e non necessariamente indica che stia per avvenire un’aggressione informatica distruttiva. La società ricorda che azioni di questo tipo richiedono mesi di preparazione e che in passato ce ne sono state analoghe contro medesimi bersagli in Corea del Sud, non sfociate nella compromissione delle reti elettriche. Inoltre, non sono stati usati strumenti o metodi, ad ora, per compromettere o manipolare i sistemi di controllo aziendali (ICS). Infine, non è certo che gli hacker di stato di Kim Jong-un abbiano queste capacità al momento. Però, dall’altra parte, l’ipotesi non può essere scartata a priori a seguito delle conseguenze che comporterebbe.
Gli hacker di Kim Jong-un hanno o no le capacità per lanciare una cyber operazione di sabotaggio al settore energetico Usa?
Gli hacker di stato spesso conducono azioni di cyber spionaggio per rubare informazioni e preparare piani. Lo fanno specialmente in tempi di tensioni elevate, come questo in cui si sta giocando una partita di braccio di ferro tra gli Usa e la Corea del Nord sul programma ICBM-SLBM e su quello nucleare. A proposito, FireEye ricorda di aver rilevato oltre 20 gruppi da almeno 4 nazioni che hanno cercato di avere accesso a bersagli nel settore energetico, i quali avrebbero potuto essere usati per condurre attacchi distruttivi. Sembra, inoltre, che gli hacker di Pyongyang non siano in grado di mettere in piedi i passi ulteriori necessari a livello tecnico e operativo per lanciare cyber operazioni di sabotaggio. O almeno finora non le hanno adottate. Non si può escludere che finora preferiscano non scoprire le loro carte per evitare di fornire al nemico elementi preziosi da usare nella difesa cibernetica.
La cyberwarfare nord coreana finora ha causato solo azioni di disturbo. Esagerando sugli esiti a scopi propagandistici
Quello che gli hacker della Corea del Nord hanno fatto finora è cercare di mettere in difficoltà i paesi nemici, creando loro imbarazzo con annunci esagerati su intrusioni condotte nelle loro reti. Ciò a scopo sia di propaganda interna sia esterna. Inoltre, il cyber army di Pyongyang vuole dimostrare di essere capace di difendere il paese dalle minacce informatiche. Per dare un segnale di forza, sempre a scopi dimostrativi. A proposito, infatti, c’è poco interesse al fatto che le loro operazioni siano scoperte e attribuite con un buon grado di certezza. Quanto accaduto, però, potrebbe essere letto anche in modo diverso. E cioè che si cerca di venire sottovalutati dal nemico, vantaggio da usare in caso di conflitto tra le parti. Non a caso continua a essere bersagliato il settore energetico. Negli Usa, in Corea del Sud e nei paesi alleati. L’obiettivo è creare disordine in caso di guerra.
Il cyber army di Pyongyang continua con i furti informatici per portare fondi a Kim Jong-un. Questi aumenteranno anche in Europa
Parallelamente, gli hacker della Corea del Nord continuano le attività di raccolta fondi per Pyongyang sul web. Lo fanno con campagne ransomware diffuse e cyber attacchi al settore finanziario e dei bitcoin-cryptocurrency. Soprattutto a danno di operatori della Corea del Sud. Questo tipo di azione, peraltro, continuerà e aumenterà nel prossimo futuro. Ciò anche a seguito del fatto che nei giorni scorsi l’Unione Europea ha approvato un nuovo pacchetto di sanzioni al regime di Kim Jong-un. A seguito di ciò, formazioni come Lazarus e altri, probabilmente estenderanno il raggio di azione e di cyber offensive verso obiettivi economici, finanziari ed energetici nel Vecchio Continente.