La Corea del Nord sta già attaccando mezzo mondo, e da anni
Non con le armi tradizionali ma con gli attacchi informatici, racconta il New York Times, facendo danni da centinaia di milioni di dollari
Negli ultimi mesi i test missilistici e nucleari della Corea del Nord sono stati tema di confronto e analisi sui giornali e nella comunità internazionale, ma le ripetute iniziative militari sono solo una parte dell’aggressività del regime di Pyongyang nei confronti della Corea del Sud, del Giappone e degli Stati Uniti. Come racconta una lunga inchiesta del New York Times, da anni la Corea del Nord utilizza migliaia di hacker per compiere attacchi contro i sistemi informatici di quelli che ritiene i suoi nemici, utilizzando tecnologie sempre più sofisticate e contro le quali ci sono poche possibilità di organizzare rappresaglie. Le attività degli hacker sono ampie e sono organizzate sia per sottrarre informazioni riservate ai governi, sia per mettere in piedi truffe che fruttano al governo nordcoreano quasi un miliardo di dollari ogni anno: e fanno già oggi molti danni, al contrario di quanto avviene con le armi tradizionali.
Gli hacker della Corea del Nord
Kim Jong-il, dittatore della Corea del Nord fino alla sua morte nel 2011 quando gli è successo Kim Jong-un, fu tra i primi a comprendere le opportunità offerte da Internet per condurre attacchi informatici. Nei primi anni Novanta, su consiglio di alcuni informatici che avevano condotto studi all’estero, decise di avviare un programma per formare personale dell’intelligence allo scopo di attaccare gli Stati Uniti e la Corea del Sud. Il progetto, che in varie forme esiste ancora oggi, prevedeva l’identificazione degli studenti più promettenti nelle scuole, che venivano poi inviati all’estero per studiare informatica nelle università, soprattutto in Cina. Alcuni studiarono anche negli Stati Uniti: facevano parte del personale delegato alle Nazioni Unite e seguivano i corsi di informatica a New York, cercando di dare il meno possibile nell’occhio. L’intelligence statunitense se ne accorse e li teneva sotto controllo, interessata più che altro a scoprire i loro piani.
Il progetto proseguì molto lentamente per buona parte degli anni Novanta, per poi subire un’accelerazione nel 2003 quando gli Stati Uniti in poco tempo invasero l’Iraq. Davanti alla prova di forza dall’esercito statunitense, la Corea del Nord si sentì più minacciata e ampliò buona parte dei propri programmi militari, comprese le attività di cyberspionaggio. Sperimentò una prima serie di attacchi, che di solito prevedevano la semplice violazione di un sito governativo statunitense per sostituire una pagina web con un altro contenuto. La cosa non preoccupò più di tanto l’intelligence statunitense: gli attacchi erano poco frequenti e con una portata molto ridotta, a dimostrazione delle scarse capacità degli hacker nordcoreani.
Il lavoro di costruzione di una rete più solida per organizzare attacchi online proseguì comunque e probabilmente fu sottovalutato dagli Stati Uniti, un po’ come avvenne nei primi tempi con il programma missilistico deciso dal regime nordcoreano. Quando nel 2011 il potere passò a Kim Jong-un, il nuovo dittatore decise di rafforzare ulteriormente le attività di cyberspionaggio, pensando che potessero funzionare non solo come arma da guerra ma anche per organizzare truffe su larga scala e per tutelare la sua immagine.
Per superare le limitazioni dovute alla rete informatica molto rudimentale della Corea del Nord, e per confondere meglio le acque, a partire dal 2012 il regime decise di trasferire buona parte dei suoi hacker all’estero. Il New York Times scrive che attività riconducibili ai nordcoreani sono state avviate da numerosi paesi come India, Malesia, Nuova Zelanda, Nepal, Kenya, Mozambico e Indonesia. È però difficile stabilire con certezza se gli hacker si trovino fisicamente in quei paesi, o se più semplicemente utilizzino software per mascherare la loro effettiva provenienza. Ci sono comunque elementi d’intelligence concreti per affermare che gruppi di hacker siano attivi da tempo in India, dalla quale si stima parta un quinto degli attacchi informatici nordcoreani. Agenzie di intelligence degli Stati Uniti e di altri paesi sono da tempo al lavoro per provare a identificarli, tracciando le attività online e offrendo sui forum codice fallato, facile da identificare se viene poi riciclato e impiegato in un attacco da hacker inconsapevoli.
I legami con l’Iran
Corea del Nord e Iran hanno avuto per decenni rapporti molto stretti, soprattutto per quanto riguarda la condivisione di informazioni per lo sviluppo delle tecnologie missilistiche e nucleari. L’intelligence statunitense ritiene che il regime nordcoreano abbia imparato molte cose (non è chiaro se tramite contatti diretti) dal governo iraniano sugli attacchi informatici e sulle opportunità che offrono, soprattutto nel caso di operazioni contro infrastrutture e grandi aziende dei servizi, come quelle energetiche. Nel 2012 l’Iran effettuò un attacco informatico contro Saudi Aramco, la prima compagnia petrolifera mondiale di proprietà dell’Arabia Saudita: un virus nella rete dell’azienda distrusse una grande quantità di dati, creando un serio danno economico. Appena sette mesi dopo la Corea del Nord organizzò un attacco con modalità molto simili contro alcune banche ed emittenti televisive della Corea del Sud. Come nel caso di Aramco, fu utilizzato un virus che distrusse grandi quantità di dati e rese inutilizzabili le reti interne aziendali. È probabile che l’attacco fosse stato organizzato con l’aiuto diretto degli hacker iraniani, anche se non sono mai state trovate prove definitive.
Contro Sony e Channel 4
Gli hacker che lavorano per il regime nordcoreano hanno anche il compito di tutelare l’immagine di Kim Jong-un. Nell’agosto del 2014, per esempio, hanno organizzato attacchi contro l’emittente televisiva britannica Channel 4, che aveva in programma di realizzare una serie tv sulla storia di uno scienziato rapito a Pyongyang: l’attacco fu identificato prima che potesse causare danni. Un’altra iniziativa, che ha attirato molta più attenzione da parte dei media nel 2014, fu condotta contro Sony Pictures che aveva in programma l’uscita di un film satirico su Kim Jong-un con protagonisti James Franco e Seth Rogen.
L’attacco contro Sony fu preparato per mesi e con maggiore accuratezza rispetto a quello realizzato per Channel 4. Il 24 novembre gli impiegati dell’azienda si ritrovarono l’intera rete aziendale compromessa e con il 70 per cento di tutti i computer resi inutilizzabili. Sony fu costretta a cambiare i suoi piani per la distribuzione del film, che venne comunque trasmesso nelle sale (poche, per timori di ritorsioni) e online. Il film probabilmente avrebbe avuto molto meno successo se non fosse stato per la pubblicità ottenuta con l’attacco, che però comportò per Sony Pictures la perdita di una grande mole di dati, comprese anteprime di film ancora da distribuire, email interne che furono diffuse online (con grandi imbarazzi, in certi casi) e copioni di progetti futuri.
L’intelligence statunitense ebbe bisogno di settimane per avere la certezza che dietro gli attacchi ci fossero gli hacker nordcoreani. L’allora presidente degli Stati Uniti, Barack Obama, dispose nuove sanzioni economiche contro la Corea del Nord, ma senza programmare altre forme di rappresaglia. Gli esperti dell’intelligence sconsigliarono di organizzare attacchi, perché si sarebbe prodotta una pericolosa escalation, soprattutto considerata l’imprevedibilità del regime nordcoreano.
Attacchi hacker e truffe
La Corea del Nord, scrive sempre il New York Times, negli anni ha messo insieme gruppi di hacker incaricati di organizzare e gestire truffe informatiche su larga scala, per ottenere denaro che viene poi messo a disposizione di Kim Jong-un e del suo governo, anche se non è chiaro se sia effettivamente impiegato per compensare le dure sanzioni economiche cui è sottoposto il paese (il regime trattiene per sé grandi ricchezze, mentre la popolazione in molte province fatica ad avere più di un pasto al giorno). L’intelligence statunitense e aziende di sicurezza informatica hanno identificato attacchi nordcoreani contro banche nelle Filippine, in Bangladesh e in Vietnam.
Un attacco è stato scoperto a inizio anno in Polonia e ha interessato un sito governativo che si occupa della regolamentazione finanziaria nel paese, ed è quindi utilizzato da numerose banche per ottenere certificati e altri documenti. Gli hacker avevano violato il sito in modo da installare software malevolo nei computer di chi lo visitava. L’obiettivo finale era creare un elenco di account da sfruttare per trasferire denaro sottratto nelle transazioni online, facendolo poi confluire verso conti difficilmente rintracciabili. Anche in questo caso l’intelligence ha identificato il problema e fermato la pratica prima che potesse causare seri danni. Più di recente sono state identificate attività contro i sistemi per la raccolta e il trasferimento di Bitcoin, la più popolare e utilizzata valuta virtuale.
WannaCry
Lo scorso maggio un attacco ransomware, cioè con del software malevolo che causa danni al proprio computer se non si paga un riscatto, mise in crisi le reti informatiche di mezzo mondo, bloccando interi servizi e database, come quelli del sistema sanitario nazionale britannico e di alcune banche. Le indagini su WannaCry sono ancora in corso per ricostruire che cosa sia andato storto, ma secondo l’intelligence britannica ci sono chiare prove per affermare che l’attacco fosse organizzato dagli hacker della Corea del Nord. Non è nemmeno chiaro quanto il ransomware abbia fruttato, ma è certo che le dimensioni e la portata dell’attacco sarebbero state molto più estese se non fosse stato per Marcus Hutchins, uno studente britannico che trovò il modo di dirottare il sistema verso un indirizzo Internet acquistato per meno di 11 dollari, che fermò l’attacco.
Contromisure
Governi e agenzie di intelligence sono da sempre restii nel confermare o smentire le loro attività per tenere sotto controllo la Corea del Nord, soprattutto per quanto riguarda gli attacchi informatici. A oggi non ci sono elementi per affermare che grandi operazioni informatiche siano state compiute contro il regime nordcoreano, ma è noto che soprattutto gli Stati Uniti studiano da anni i sistemi informatici della Corea del Nord, realizzando software e sistemi che potrebbero essere utilizzati per rallentare o danneggiare i test nucleari e missilistici del paese. Il problema è che, in una logica di equilibrio molto precario come l’attuale, l’imprevedibile regime della Corea del Nord potrebbe pensare di essere minacciato da attacchi informatici o da sistemi per fermare i suoi armamenti a distanza, portando a una sua reazione con attacchi preventivi a corto raggio contro la Corea del Sud, o con missili balistici per raggiungere il Giappone o la costa occidentale degli Stati Uniti.
Il direttore della CIA, Mike Pompeo, di recente si è limitato a dire che gli Stati Uniti sono al lavoro per comprendere meglio come è organizzata la struttura di potere intorno a Kim Jong-un. Tra gli obiettivi c’è comprendere chi abbia in carico le decisioni sulle attività informatiche, uno dei più grandi misteri nonostante periodicamente circolino voci non confermate sul suo conto, soprattutto sulla stampa giapponese e sudcoreana.