Secondo FireEye, nel 2016, attori che si pensa essere Nordcoreani hanno condotto attività cyber criminali, colpendo banche e sistemi finanziari globali.
Questo ha segnato un allontanamento dall’attività precedentemente osservata di attori Nordcoreani che utilizzavano tradizionalmente lo spionaggio informatico per attività “Nation-State”. Tuttavia, data la posizione della Corea del Nord come nazione parìa, tagliata fuori da gran parte dell’economia globale – così come una nazione che impiega un reparto governativo per condurre attività economiche illecite – questo non è così sorprendente. Con lo stretto controllo della Corea del Nord sulle sue capacità militari e di intelligence, è probabile che questa attività sia stata condotta per finanziare le casse statali o personali dell’élite di Pyongyang, dato che le sanzioni internazionali lo hanno costretto ad un “Regno Eremita”.
Marco Rottigni, Consulting System Engineer Southern Europe di FireEye
Assistiamo ora ad una seconda ondata di questa campagna: attori state-sponsored che cercano di rubare bitcoin e altre valute virtuali come mezzo per eludere le sanzioni e ottenere valute solide per finanziare il regime. Da maggio 2017 osserviamo che gli attori Nordcoreani hanno preso di mira almeno tre agenzie Sudcoreane di scambio di criptovalute, con l’intento sospetto di rubare fondi.
Lo spearphishing che FireEye ha osservato in questi casi è spesso indirizzato ad account email personali di impiegati presso borse di cambio di valute digitali, sovente utilizzando esche a tema fiscale e diffondendo malware (PEACHPIT e varianti simili) legati ad attori Nordcoreani sospettati di essere responsabili di intrusioni in diverse banche mondiali nel 2016.
A questo si aggiunge il legame tra gli operatori Nordcoreani e una compromissione watering hole di un sito di notizie sui bitcoin nel 2016, nonchè almeno un’istanza di utilizzo di un minatore occulto di criptovaluta; si comincia insomma a vedere un quadro dell’interesse nordcoreano per le criptovalute, una classe di beni in cui il bitcoin da solo è aumentato di oltre il 400% dall’inizio di quest’anno.
I vantaggi di colpire le criptovalute – Mentre i bitcoin e le agenzie di criptovalute possono sembrare bersagli inusuali per gli attori Nation-State interessati a finanziare le casse dello Stato, altri sforzi illeciti della Corea del Nord danno un ulteriore dimostrazione dell’interesse nel condurre crimini finanziari per conto del Regime. Il reparto 39 della Corea del Nord è coinvolto in attività quali contrabbando di oro, contraffazione di valuta estera e persino gestione di ristoranti. Oltre a concentrarsi sul sistema bancario globale e sulle borse di criptovalute, un recente rapporto di un istituto Sudcoreano ha evidenziato il coinvolgimento degli attori Nordcoreani nel colpire i bancomat con malware; diventa quindi possibile anche il sostegno di finalità simili.
Se gli attori compromettono una borsa (a differenza di un conto individuale o di un portafoglio) essi possono potenzialmente spostare criptovalute al di fuori dei portafogli online, scambiarle con altre – più anonime – criptovalute oppure inviarle direttamente ad altri portafogli su differenti agenzie di cambio, per poi ritirarle in moneta legale come il Won Sudcoreano, il Dollaro Statunitense o il Renminbi Cinese. Poiché l’ambiente di regolamentazione attorno alle criptovalute è ancora da attuare, alcune borse in differenti giurisdizioni potrebbero avere controlli anti riciclaggio più leggeri che facilitino questo processo e rendano gli scambi una tattica attraente per chiunque cerchi una valuta solida.
Marco Rottigni
Poiché nell’ultimo anno il valore di bitcoin e di altre criptovalute è aumentato, gli attori nation-state stanno iniziando a interessarsene. Recentemente, un consulente del Presidente Putin in Russia ha annunciato piani di raccolta fondi per aumentare la quota Russa di produzione di bitcoin; i senatori del parlamento australiano hanno invece proposto lo sviluppo di una propria criptovaluta nazionale.
Di conseguenza non dovrebbe sorprendere che le criptovalute, in quanto asset emergente, stiano diventando un bersaglio di interesse da parte di un regime che opera per molti versi come un’impresa criminale. Mentre attualmente la Corea del Nord è un po’ diversa sia per quanto riguarda la loro volontà di impegnarsi nel crimine finanziario sia per il possesso di capacità di spionaggio informatico, l’unicità di questa combinazione non durerà probabilmente a lungo: le crescenti potenze informatiche potrebbero infatti vedere un potenziale interessante. I cyber criminali potrebbero non essere più gli unici attori funesti in questo spazio.