09 Corea del Nord, terrore dei crypto

febbraio 2025, la borsa di criptovalute Bybit ha perso 1,46 miliardi di dollari statunitensi a causa di un cyberattacco del gruppo Lazarus nordcoreano. Il prezzo del Bitcoin è crollato del cinque per cento. Gli autori appartenevano al gruppo Lazarus, parte del servizio segreto nordcoreano. Il paese ottiene un terzo delle entrate in valuta estera da questi attacchi, finanziando così il suo programma nucleare e missilistico. Le tecniche di hacking del gruppo diventano sempre più sofisticate e ora sono supportate anche dall'intelligenza artificiale.

Dettagli per nerd

La borsa di criptovalute Bybit, con sede a Dubai e seconda al mondo con oltre 60 milioni di utenti, ha perso 1,46 miliardi di dollari statunitensi a febbraio di quest'anno a causa di un cyberattacco. Il prezzo del Bitcoin è sceso di circa il cinque per cento dopo l'hack. Gli investigatori della blockchain hanno identificato il gruppo Lazarus come responsabile.

Anche la povera Corea del Nord offre opportunità a ingegneri, scienziati e informatici capaci. I laureati della facoltà di automazione dell'Università Kim Il-sung di Pyongyang vengono spesso assunti dal Bureau 121, la sottosezione di cyberguerra del servizio segreto nordcoreano. I nuovi dipendenti sono sottoposti a una selezione rigorosa e vengono talvolta reclutati già all'età di 17 anni. I dipendenti del Bureau sono tra le persone meglio pagate dello Stato. Ricevono la loro formazione pratica e continua in Cina e Russia. Camuffati da dipendenti di società commerciali nordcoreane, alcuni sono anche dislocati all'estero, mentre le loro famiglie godono di privilegi in patria.

Tra il 2017 e il 2023, gli attacchi informatici nordcoreani hanno fruttato circa tre miliardi di dollari statunitensi in tutto il mondo, principalmente grazie al gruppo Lazarus, l'unità operativa più nota del Bureau 121. Lo scorso anno (2024), il gruppo ha rubato 1,34 miliardi di dollari con 47 hack. L'incidente più grave ha portato via 4.500 Bitcoin dalla borsa giapponese DMM Bitcoin, che ha dovuto poi chiudere i battenti. L'obiettivo di queste azioni è finanziare il programma nucleare e missilistico nordcoreano. La criminalità informatica fornisce al paese un terzo delle entrate in valuta estera.

Le tattiche, tecniche e procedure (TTP) tipiche includono ingegneria sociale, phishing, false campagne di reclutamento, compromissione di sviluppatori o amministratori, session hijacking, code injection e simili. Il bottino viene convertito estremamente rapidamente in asset sicuri o trasferito direttamente in un mixer di criptovalute per nascondere la provenienza. Ultimamente, i nordcoreani utilizzano l'analisi del codice supportata dall'intelligenza artificiale. Le rapine stanno diventando sempre più redditizie, le capacità migliorano e probabilmente anche l'equipaggiamento. Molto fa pensare a una collaborazione con Cina e Russia.

Osservare come la nuova autorità di vigilanza sulle borse statunitensi lasci entrare sul mercato finanziario prodotti crypto non verificati come "innovazione" è, in questo contesto, preoccupante. Con il know-how, la rete e l'approccio mirato dei cybercombattenti nordcoreani, si apre così una breccia per rapine di proporzioni gigantesche, con potenziali conseguenze devastanti per la stabilità finanziaria globale.