News
October 16 2017
Non sappiamo e non sapremo mai quanti attacchi cyber gli USA abbiano bloccato quest’anno, provenienti dalla Corea del Nord.
Stando al report Internet Security Threat 2017di Symantec, agenzia di sicurezza digitale, la prima vera e propria campagna telematica globale originata dagli hacker della Repubblica Popolare Democratica di Corea risale al 2012.
È quello l’anno di Appleworm, un programma di spionaggio basato su tecniche divenute famose negli anni successivi: phishing, spear phishing, DDoS, backdoor e così via. Gli obiettivi erano di alto livello, dagli istituti finanziari a quelli militari, per passare a governi, multinazionali dell’intrattenimento e di elettronica.
Non a caso, il gruppo di cybercriminali legati ad Appleworm è lo stesso che, nel 2016, è stato affiancato alla violazione alla Banca Centrale del Bangladesh, con cui sono stati sottratti 100 milioni che l’agenzia conservava su un conto presso la Federal Reserve di New York.
Appleworm è la sintesi perfetta di quello che sono oggi gli hacker nordcoreani: individui capaci di bucare le difese di una compagnia come Sony e allo stesso tempo dell’esercito sudcoreano e statunitense, per accedere alle strategie del Piano Operativo 5015.
L’esercito digitale di Pyongyang è stato sottovalutato per anni. Anche oggi le infrastrutture informatiche sono alquanto arretrate in confronto di quelle di altri paesi asiatici. Il web ha però dato un vantaggio assoluto agli hacker del regime. Operando fuori dalla Corea del Nord, le unità specializzate, di fatto, non utilizzano macchine e strumenti localizzati internamente e dunque risulta molto difficile colpirli lì dove si trovano.
A differenza dell’organo cinese APT1, composto da hacker professionisti integrati ai team terrestri, quelli nordcoreani agiscono oltre i confini, anche dall’Occidente, adoperando escamotage in grado di nascondere la loro identità alle misure di sicurezza di enti e organizzazioni.
In questo modo vengono lanciati DDoS dall’India o dal Sud America anche se l’ordine arriva da tutt’altra parte, tramite un coordinamento in remoto e una rete che lavora in sintonia da continenti differenti. Bloccare un sistema del genere, destrutturato e privo di un’organizzazione piramidale è difficile, quasi impossibile.
Di certo, la scuola nazionale di hacker non si è formata da sola. Il predecessore di Kim Jong-un, il papà Kim Jong-il, è stato da sempre un estimatore di internet quale mezzo di propaganda ma anche di crescita militare. Sotto la sua guida alcuni scienziati e ingegneri informatici cominciano ad apprendere, alla fine degli anni ’90, come spiare e monitorare imprese e cittadini via web, per arrivare sino ai server degli stati ostili.
In quegli anni la Corea del Nord stringe rapporti ancora più profondi con l’Iran, con cui comincerà a condividere più intensamente la tecnologia alla base della costruzione missilistica, ma non solo: proprio gli esperti iraniani fanno capire a Kim che quando il tuo nemico poggia banche, ospedali, sistemi di scambio commerciale e organizzazione burocratica su sistemi connessi, allora le possibilità di attacco sono infinite.
Gli USA lo avevano capito. Ed è per questo che, in collaborazione col governo israeliano, lanciano nel 2006 Stuxnet, un sofisticato software di sorveglianza creato per spiare la centrale di arricchimento di uranio di Natanz, proprio in Iran. La cyberwar era cominciata e nessuno qui fuori se ne era accorto.
Guerra digitale e guerra armata non sono la stessa cosa. Anche le frequenti evidenze dei coinvolgimenti degli smanettoni al servizio di Kim Jong-un in tante delle attività di hackeraggio ai danni di marchi ed entità tipicamente occidentali (la stessa Sony e tutto ciò che rappresenta per il cinema e la musica) non ha portato a conseguenze dirette sul piano pratico. Il motivo? Rispondere con la guerra tradizionale alla cyber-guerra scatenerebbe un’escalation di criticità senza fine. Per ora si agisce con i piedi di piombo ma le cyberspie del regime non hanno intenzione di fermarsi.
Dopo le operazioni minori, che non interessano direttamente la popolazione, la prossima minaccia è verso gli impianti critici. L’idea della Corea del Nord è di minare le fondamenta del sistema dei servizi made in USA, creando scompiglio e approfittando del caos per entrare ancora più a fondo nelle reti che gestiscono le intessiture del paese.
A dirlo è FireEye, altro nome conosciuto negli ambienti di infosecurity. Secondo la società, il 22 settembre gli hacker nordcoreani avrebbero lanciato vari attacchi via mail (con il solito phishing contenente un virus) per intrufolarsi nelle macchine gestionali di centrali elettriche e nucleari negli States, bloccati in tempo dalle difese virtuali attivate da ognuna.
Cosa sarebbe successo se il tentativo fosse andato a buon fine? Più o meno quello che hanno vissuto migliaia di abitanti nella zona ovest dell’Ucraina, quando a Natale del 2015 il malware Black Energy ha spento del tutto l’energia elettrica fornita dalla Prykarpattyaoblenergo.
La bomba che Kim Jong-un minaccia di lanciare sugli Stati Uniti non è solo fisica. Decine di inviti a fermare i test nucleari e sanzioni a più spiano non hanno evidentemente minato i piani di espansione dell’intrepido condottiero coreano. Molti sottovalutano i test già oltre confine che hanno colpito, e tentano di colpire quotidianamente, i cervelli cibernetici dipendenti da Washington.
Probabilmente il problema nucleare ne nasconde un altro, reale e pragmatico: quello del controllo e del disarmo online. Come un virus che si insedia nel corpo e che lo indebolisce di giorno in giorno, da almeno un decennio gli hacker di Pyongyang hanno imparato a eludere e aggirare gli scudi endemici dell’Occidente, che seppur virtuali muovono la vita quotidiana di persone, organizzazioni, istituzioni.
Cerchiamo una cura per la ferita più grande senza accorgerci di tutte le altre che si stanno aprendo, proprio lì dove non pensavamo.