In un rapporto pubblicato lo scorso 20 febbraio, la società di sicurezza informatica FireEye ha sottolineato come le attività di cyber warfare della Corea del Nord stiano aumentando in termini di volume e sofisticatezza. Dopo il gruppo hacker noto come Lazarus, ritenuto responsabile dell’attacco di matrice ideologica sferrato nel 2014 alla Sony Pictures (rea di aver distribuito un film satirico su Kim Jong Un), un nuovo attore avrebbe fatto il suo ingresso nell’esercito “virtuale” della Corea del Nord, che secondo un rapporto del ministero della Difesa sudcoreano sarebbe composto da circa 6.000 hacker. Si tratterebbe di un nuovo gruppo noto con il nome di Reaper, più frequentemente indicato con la sigla APT37.

Gli hacker della Nord Corea

L’acronimo APT (Advanced Persistent Threat) si riferisce a un tipo di minaccia informatica dalle caratteristiche «persistenti e avanzate». Il malware impiegato dagli hacker per portare a segno i loro attacchi, infatti, ha la caratteristica di essere difficilmente individuabile, tanto nella sua fase di “ingresso” all’interno dei computer-vittima, quanto nella sua fase di “attività”, che tende a prolungarsi per un lasso di tempo generalmente lungo, solitamente nell’ordine di mesi se non addirittura anni.

Il malware, denominato DogCall, avrebbe consentito agli hacker di sottrarre schermate, registrare sequenze di tasti e accedere a servizi di cloud storage come Dropbox. Secondo diversi esperti, la nuova “arma” dell’arsenale cyber nordcoreano sarebbe stata inoltre impiegata nel clamoroso leakage di più 200 gigabyte di documenti militari (compreso un piano per assassinare il Supremo Leader), sottratti nel 2017 al Defense Integrated Data Center sudcoreano.

Sempre secondo il rapporto della società d sicurezza statunitense, il gruppo APT37, che si ritiene abbia avuto origine nel 2012 in Corea del Nord, tenderebbe a prendere particolarmente di mira le industrie operanti nel settore aerospaziale e della difesa (oltre a quello chimico, elettronico, manifatturiero, sanitario e dei trasporti), anche al di fuori della Corea del Sud, arrivando a colpire compagnie situate in Giappone, Vietnam e Medio Oriente.

Questi attacchi mirati ai sistemi informatici che presiedono al funzionamento delle infrastrutture critiche di questi Paesi, secondo la società FireEye, sono di evidente matrice nordcoreana (così come lo sarebbe stato l’attacco condotto attraverso il ransomware WannaCry, che lo scorso anno ha colpito più di 230.000 computer in oltre 150 Paesi) e sarebbero finalizzati a un’attività di raccolta informativa e mappatura delle suddette infrastrutture critiche, a sostegno degli interessi strategici militari, politici ed economici della Corea del Nord.

Cyber: le armi a disposizione di Kim Jong Un

Quella dello spionaggio, o Computer Network Exploitation (CNE), è una delle attività ostili principali attuate da Pyongyang contro i “nemici” del regime, come il governo e le aziende americane e sudcoreane, insieme alla cosiddetta Computer Network Attack (CNA), ovvero le vere e proprie azioni di attacco alla rete informatica.

Diversi esperti di sicurezza finanziaria ritengono inoltre che i “cyber-soldati” della Corea del Nord vengano impiegati nelle attività di cryptomining, o “saccheggio” di valute virtuali, al fine di ingrossare le casse dello Stato, sempre più schiacciato dal peso delle severe sanzioni internazionali. Il recente furto, avvenuto nel dicembre scorso, dell’equivalente di circa 7 milioni di dollari in criptovalute a danno della piattaforma sudcoreana di bitcoin-exchange Youbit, è stato attribuito dalle autorità agli hacker nordcoreani.

Gli USA si starebbero organizzando per lanciare una massiccia controffensiva cyber verso la Corea del Nord, instradando gli attacchi attraverso la Corea del Sud e il Giappone, dove è presente il più vasto contingente di forze militari USA nella regione del Nord-Est asiatico. Il Defense Clandestine Service (divisione della Defense Intelligence Agency), avrebbe riferito di voler rafforzare la propria presenza in Asia, dove è intenzionato a stanziare i suoi migliori “cyberguerrieri” per raccogliere la sfida del regime e rispondere all’offensiva. Secondo fonti dell’intelligence, infatti, negli Stati Uniti è in atto una “corsa agli armamenti” senza precedenti in campo cyber, per contrastare l’azione degli hacker nordcoreani state-sponsored intenzionati a prendere di mira i sistemi di controllo industriale delle compagnie elettriche statunitensi.

Gli esiti di una “cyber-war totale” tra la Corea del Nord e i suoi avversari (principalmente Corea del Sud e Stati Uniti) non sono delineabili a priori con certezza; ciò che va certamente considerato è che, nel dominio cyber, non sono più applicabili i tradizionali equilibri di forza della guerra convenzionale.

Nell’ambito della guerra cyber, l’investimento economico risulta decisamente più ridimensionato sia in termini di strumenti che di risorse umane impiegate; inoltre, la frequente difficoltà nel definire le tempistiche e l’attribuzione di un attacco informatico comporta il fatto che non sia sempre possibile individuare con certezza in quale momento è stato sferrato un attacco e da parte di chi.

Altro elemento importante da considerare è il fattore asimmetrico. In una nazione come la Corea del Nord, in cui i sistemi informatici non sono così strettamente correlati alle infrastrutture e ai servizi essenziali del paese, un attacco informatico – per quanto massiccio – a un’infrastruttura critica non causerebbe probabilmente lo stesso disastroso “effetto domino” che potrebbe provocare in un qualsiasi paese europeo o negli Stati Uniti. Alla luce di questo, non è affatto detto che in uno scenario di cyber-war l’ago della bilancia non possa finire per pendere in favore del piccolo ma agguerrito attore asiatico.