Perché gli hacker nordcoreani sono così bravi a rubare criptovalute? Report Economist

Nel 2023 gli hacker nordcoreani hanno rubato criptovalute per un valore di 661 milioni di dollari. L’anno seguente hanno raddoppiato la somma. Si dice che Kim Jong-un definisca la guerra informatica “una spada multiuso” e la Corea del Nord ci si sta preparando da decenni. L’articolo dell’Economist

Il 21 febbraio era iniziato come un giorno qualsiasi, ricorda Ben Zhou, il capo di ByBit, una piattaforma di scambio di criptovalute con sede a Dubai. Prima di andare a letto, aveva approvato un trasferimento di fondi tra i conti dell’azienda, una “manovra tipica” eseguita mentre si servono più di 60 milioni di utenti in tutto il mondo. Mezz’ora dopo ricevette una telefonata.

“Ben, c’è un problema”, disse il suo direttore finanziario con voce tremante. “Potremmo essere stati hackerati… tutto l’Ethereum è andato”. Nel 2023 gli hacker nordcoreani hanno rubato un totale di 661 milioni di dollari, secondo Chainalysis, una società di investigazioni sulle criptovalute; hanno raddoppiato la somma nel 2024, accumulando 1,34 miliardi di dollari in 47 rapine separate, un importo equivalente a oltre il 60% del totale globale delle criptovalute rubate. L’operazione ByBit indica un crescente livello di abilità e ambizione: in un solo attacco, la Corea del Nord ha rubato l’equivalente di 1,5 miliardi di dollari dall’exchange, la più grande rapina nella storia delle criptovalute – scrive The Economist.

Il bottino della Corea del Nord è il risultato di uno sforzo decennale. Le prime scuole di informatica del paese risalgono almeno agli anni ’80. La guerra del Golfo ha aiutato il regime a riconoscere l’importanza della tecnologia di rete per la guerra moderna. Gli studenti di matematica di talento sono stati inseriti in scuole speciali e hanno ottenuto una deroga dal lavoro annuale obbligatorio in campagna, dice Thae Yong Ho, un diplomatico nordcoreano di alto livello che ha disertato nel 2016. Originariamente concepite come strumento di spionaggio e sabotaggio, le forze cibernetiche della Corea del Nord hanno iniziato a concentrarsi sulla criminalità informatica a metà degli anni 2010. Si dice che Kim Jong-un definisca la guerra informatica “una spada multiuso”.

Il furto di criptovalute prevede due fasi principali. La prima consiste nell’introdursi nei sistemi di un obiettivo, l’equivalente digitale di trovare il passaggio sotterraneo che conduce ai caveau di una banca. Le e-mail di phishing possono inserire codice dannoso. Gli agenti nordcoreani si fingono reclutatori e inducono gli sviluppatori di software ad aprire file infetti durante falsi colloqui di lavoro. Un altro approccio consiste nell’utilizzare identità false per essere assunti in posti di lavoro IT a distanza presso aziende straniere, il che può essere un primo passo per accedere agli account. […]

Un numero crescente di servizi clandestini, molti dei quali legati alla criminalità organizzata cinese, può essere d’aiuto in questo senso. Le tasse e i divieti imposti dalle forze dell’ordine riducono il guadagno complessivo, ma la Corea del Nord può aspettarsi di ricevere “sicuramente l’80%, forse il 90%” dei fondi che ruba, afferma Nick Carlsen, ex analista dell’FBI ora in TRM Labs, una società di intelligence blockchain.

La Corea del Nord ha diversi punti di forza. Uno è il talento. Questo potrebbe sembrare controintuitivo: il paese è disperatamente povero, mentre i cittadini comuni hanno un accesso fortemente limitato a Internet o persino ai computer. Ma “la Corea del Nord può prendere le menti migliori e dire loro cosa fare”, dice Kim Seung-joo della Korea University di Seoul. “Non devono preoccuparsi che vadano a lavorare alla Samsung”. All’International Collegiate Programming Contest del 2019, un team di un’università nordcoreana si è classificato ottavo, battendo quelli di Cambridge, Harvard, Oxford e Stanford.

Anche questi talenti vengono sfruttati. Gli hacker nordcoreani lavorano 24 ore su 24. Sono insolitamente sfacciati quando colpiscono. La maggior parte degli attori statali cerca di evitare ripercussioni diplomatiche e “operano come se fossero in Ocean’s 11: guanti bianchi, entrano senza che nessuno se ne accorga, rubano il gioiello della corona, escono senza essere notati”, dice Jenny Jun del Georgia Institute of Technology. La Corea del Nord non “dà molta importanza alla segretezza, non ha paura di farsi sentire”.

Per il regime nordcoreano, il furto di criptovalute è diventato un’ancora di salvezza, soprattutto perché le sanzioni internazionali e la pandemia di Covid-19 hanno ridotto il loro già limitato commercio. Il furto di criptovalute è un modo più efficiente per guadagnare valuta forte rispetto alle fonti tradizionali di valuta forte, come i lavoratori stranieri o le droghe illegali. Il Gruppo di esperti delle Nazioni Unite (UNPE), un organismo di monitoraggio, ha riferito nel 2023 che il furto informatico rappresentava la metà delle entrate in valuta estera della Corea del Nord. Il saccheggio digitale della Corea del Nord lo scorso anno è stato pari a più del triplo del valore delle sue esportazioni verso la Cina. “Prendi ciò che ha portato via milioni di lavoratori e puoi replicarlo con il lavoro di poche decine di persone”, afferma Carlsen.

Quei fondi aiutano a sostenere il regime. La valuta forte viene utilizzata per acquistare beni di lusso per tenere a bada le élite. Inoltre alimenta le armi. Si ritiene che la maggior parte delle criptovalute rubate alla Corea del Nord confluisca nei suoi programmi missilistici e di armi nucleari.

Gli investigatori sulle criptovalute stanno migliorando nel tracciare i fondi rubati lungo la blockchain. Gli scambi di criptovalute tradizionali e gli emittenti di stablecoin spesso collaborano con le forze dell’ordine per congelare i fondi rubati. Nel 2023, America, Giappone e Corea del Sud hanno annunciato uno sforzo congiunto volto a contrastare la criminalità informatica nordcoreana. L’America ha sanzionato diversi fornitori di servizi di “mixing” utilizzati dalla Corea del Nord.

Eppure le autorità rimangono un passo indietro. Dopo che gli Stati Uniti hanno sanzionato i mixers preferiti dalla Corea del Nord, gli hacker sono passati ad altri che offrono servizi simili. Affrontare il problema richiede sforzi multilaterali tra i governi e il settore privato, ma tale collaborazione si è logorata. La Russia ha usato il suo veto all’ONU per sventrare l’UNPE l’anno scorso. I tagli del presidente Donald Trump agli aiuti allo sviluppo americani hanno colpito i programmi volti a costruire capacità di sicurezza informatica nei paesi vulnerabili.

Al contrario, il regime nordcoreano sta investendo sempre più risorse nella criminalità informatica. I servizi segreti della Corea del Sud stimano che la loro forza di contrasto alla criminalità informatica sia passata da 6.800 persone nel 2022 a 8.400 l’anno scorso. Con l’espansione del settore della crittografia nei paesi con una supervisione normativa più debole, la Corea del Nord ha un “ambiente bersaglio sempre più ricco”, afferma Abhishek Sharma dell’Observer Research Foundation, un think tank indiano. L’anno scorso, osserva Sharma, la Corea del Nord ha attaccato le borse con sede in India e Indonesia.

È già noto che la Corea del Nord utilizza l’intelligenza artificiale nelle sue operazioni. Gli strumenti di IA possono aiutare a rendere le e-mail di phishing più convincenti e più facili da produrre su larga scala in molte lingue. Possono anche facilitare l’infiltrazione nelle aziende come lavoratori tecnologici a distanza. Giornate brutte come quella di Zhou potrebbero diventare sempre più comuni.