Carola Frediani per “la Stampa”

 

KIM YO JONG E KIM JONG UN

Negli ultimi anni l' attività degli hacker al servizio di Pyongyang è apparsa instancabile. Spionaggio, attacchi a multinazionali, furti di criptomonete, incursioni nelle banche. Un cursus honorum che li ha elevati fra i gruppi più enigmatici e imprevedibili.

 

Un anno fa sarebbero penetrati anche nelle reti della Difesa sudcoreana - ha riferito ieri un parlamentare di Seul, Lee Cheol-hee - sottraendo 235 gigabyte di dati, con molti documenti classificati sulle risposte militari di Corea del Sud e Usa. Incluso il Piano Operativo 5015, un progetto messo a punto nel 2015 che prevederebbe anche un intervento preventivo di decapitazione della leadership nordcoreana.

kim jong un

 

Con tanto di dettagli su come tracciare i movimenti di Kim Jong-un e dei suoi fedelissimi, e le loro vie di fuga. Nel gioco di specchi dei confronti cyber, qualcuno spera ora che il furto sia stato «permesso», che i documenti fossero falsificati, una trappola.

 

Ma gli hacker di Kim sanno comunque il fatto loro. È dal 2009 che la Corea del Nord (dove ieri si sono tenute le celebrazioni per il 72° anniversario della fondazione del Partito comunista) effettua «operazioni cyber offensive» per raccogliere intelligence o danneggiare avversari, scrive un rapporto della Difesa Usa del 2015. In modo asimmetrico, con costi contenuti, con possibilità di nascondersi e negare responsabilità, e con pochi rischi di rappresaglie. Anche perché «in parte le loro reti sono separate da Internet». E proprio per questo, gran parte dei suoi attaccanti utilizzerebbero le infrastrutture di altri Paesi (Cina soprattutto).

 

mitragliatrici in corea del nord

Tuttavia negli ultimi tempi la missione dei cybermercenari di Pyongyang - dati fra i 1800 e i seimila - sembra aver imboccato un nuova rotta. Molte loro azioni sarebbero ora finalizzate a fare cassa per conto di un regime soffocato dalle sanzioni. Più che spionaggio, dunque, cybercrimine con imprimatur statale, orchestrato dall' Unità 180 dei servizi segreti militari, l' Rgb.

 

Azioni che includono attacchi informatici ai cambiavalute sudcoreani di bitcoin e altre criptomonete per depredare i loro conti, scrive un rapporto della azienda di cybersicurezza FireEye. Confermato in questi giorni dalle autorità di Seul che avrebbero riscontrato decine di tentativi di infezione contro almeno quattro cambiavalute.

 

TASTIERA HACKER 3

Il salto di qualità sarebbe avvenuto tra 2013 e 2015, quando gli hacker di Pyongyang avrebbero iniziato a puntare sul furto di bitcoin e altre attività estorsive. O addirittura a provare a «minarli», cioè a produrli usando potenza computazionale, preferibilmente di dispositivi altrui.

 

Ma i colpi più consistenti attribuiti ai nordcoreani - anche qua solo con indizi - riguardano banche tradizionali. Il furto da 80 milioni di dollari alla Banca del Bangladesh - eseguito nel 2016 con un attacco informatico che ha modificato i pagamenti Swift - è stato ricondotto da vari ricercatori al gruppo Lazarus, un' entità in odore di Corea del Nord.

 

HACKERS

Ce ne sono stati anche altri, contro banche polacche e asiatiche. Si tratta di un cambio di rotta «credibile - commenta a Ankit Panda, analista di The Diplomat, esperto di Corea del Nord - Stanno accelerando e diversificando le loro attività cybercriminali per fare soldi».

I nordcoreani sono anche sospettati - ma senza una pistola fumante - dell' evento cyber più catastrofico e insieme sgarrupato degli ultimi anni: l'infezione globale Wannacry, che lo scorso maggio ha bloccato aziende e ospedali in molti Paesi.

 

E poi naturalmente c' è l' azione che li ha catapultati in primo piano, l' attacco a Sony nel 2014, colpevole di aver prodotto e lanciato un film sgradito su Kim Jong-un. Poche regole, tanti indizi, nessuna prova, un campo ingannevole, una capacità cresciuta nel tempo, un' economia alle strette, e nulla da perdere: davvero un pessimo cocktail.