Ecco come gli hacker nordcoreani rubano alle banche per finanziare le armi nucleari del regime
Gli APT degli stati canagli attaccano i sistemi bancari. Ma l’Europa si prepara a difendersi. A giugno i G7 simuleranno la risposta a un attacco internazionale alle istituzioni finanziarie
Arturo Di Corinto
In un fine settimana dell’agosto 2018, la Cosmos Bank indiana è stata oggetto di una massiccia rapina informatica. Frutto di un attacco sofisticato che probabilmente è iniziato con un’e-mail di spear-phishing, la rapina ha comportato il furto di 13,5 milioni di dollari dalle riserve della banca.
Gli sportelli automatici sono stati presi di mira con 14.000 transazioni simultanee in 28 paesi. In totale sono stati prelevati circa $ 11 milioni. L’attacco della Cosmos Bank ha incluso anche altri 2 milioni di dollari che sono stati rubati tramite SWIFT, la rete globale che consente alle banche e ad altre istituzioni finanziarie di inviarsi reciprocamente informazioni su come e dove vengono trasferiti i soldi.
L’attacco aveva tutti i tratti distintivi dell’APT 38 e la complessa rete di attività criminali ha attratto l’attenzione dell’FBI, che insieme al Dipartimento della Sicurezza Nazionale e al Tesoro degli Stati Uniti, ne hanno incolpato la Corea del Nord.
Chi è APT38
Ma chi è APT 38? L’Advanced Persistent Threat 38 è, secondo FireEye, un gruppo altamente qualificato di hacker di banche, una cellula cybercriminale segreta specializzata nell’hacking di organizzazioni finanziarie per sostenere l’economia della Corea del Nord.
Le Minacce avanzate persistenti, APT, si chiamano così proprio per il loro modus operandi: si infiltrano in un’organizzazione, ne registrano il comportamento, attaccano al momento opportuno; esfiltrano dati, informazioni, modificano gli assetti operativi e rubano il patrimonio digitale delle vittime.
FireEye ritiene che ne esistano altri con lo stesso ruolo e con la stessa capacità di sviluppare malware e di utilizzarlo. Alcuni dei codici di WannaCry — che nel 2017 ha colpito 300 mila computer bloccando ospedali, treni e porti-, ad esempio, sono stati utilizzati anche negli attacchi condotti dall’APT 38.
FireEye afferma che APT 38 è attivo almeno dal 2014 e avrebbe colpito più di 16 organizzazioni, in 13 paesi, con i suoi hacker. La stragrande maggioranza degli attacchi del gruppo è stata condotta contro le banche tradizionali e le istituzioni finanziarie di mezzo mondo. Colpisce i sistemi IT interni, effettua pagamenti fraudolenti e quindi tenta di incanalare i soldi verso la Corea del Nord. All’interno della Corea del Nord, l’APT 38 è, secondo FireEye, “Associato a Lab 110, un’organizzazione subordinata o sinonimo del 6° Ufficio tecnico nel Reconnaissance Bureau (RGB) della Corea del Nord” che controlla “unità militari incentrate sul cybercrime direttamente incaricate di generare entrate per il regime”.
PYONGYANG PAPERS
Non si sa molto sulla composizione di APT 38. Le stime parlano di circa 20 operatori e, secondo il sito web Pyongyang Papers, si trova nella città nord-occidentale di Sinuiju, che confina con il partner commerciale più importante del paese, la Cina. Secondo il sito d’informazione hanno attaccato banche a Malta, in Ghana, in Liberia, in Cile e Vietnam, Bangladesh, Taiwan, Messico e, appunto, in India.
Uno dei metodi di attacco preferiti di APT 38 è lo spear-phishing, che, per evitare il rilevamento, richiede una conoscenza dettagliata di come i dipendenti dell’azienda comunicano tra di loro. Per questo si ritiene che gli operativi di APT 38 siano capaci di padroneggiare un certo numero di lingue straniere.
A febbraio 2016, quando l’APT 38 ha rubato $ 81 milioni dalla Bangladesh Bank, decine di e-mail di phishing sono state inviate ai dipendenti da account collegati alle primule rosse nordcoreane. Almeno in un caso il tentativo di phishing verso un impiegato della banca era successivo alla richiesta di contattato su Facebook un mese prima. “Il gruppo è cauto e attento, e ha dimostrato il desiderio di mantenere l’accesso al bersaglio prescelto per il tempo necessario a comprendere il layout di rete, le autorizzazioni necessarie e le tecnologie di sistema per raggiungere i suoi obiettivi”, afferma FireEye.
Dopo aver raccolto molti soldi per il paese dalle sue rapine — si parla di un miliardo di dollari -, il gruppo ha cominciato a occuparsi di cryptovalute. Secondo le Nazioni Unite, il passaggio della Corea del Nord alle cryptovalute è un tentativo di eludere le sanzioni, poiché sono “più difficili da rintracciare, possono essere riciclate molte volte e sono indipendenti dal controllo dei governi”. Dal 2016, almeno cinque attacchi contro gli scambi di criptovaluta sono stati collegati alla Corea del Nord. La società di sicurezza ProofPoint ha scoperto che gli hacker nordcoreani utilizzano sofisticate tecniche di attacco per aumentare le probabilità di successo.
Una volta trasferito il denaro, APT 38 tenta di coprire le sue tracce anche con metodi distruttivi. “Dopo aver trasferito denaro al di fuori di una banca, lanciano un attacco ransomware per distrarre i tecnici della sicurezza”. Ma è solo un altro modo per avere più tempo e spostare il denaro.
“La sicurezza informatica non consiste più solo nell’arrestare i criminali o nel proteggere la tua tecnologia”, ha affermato una fonte della sicurezza occidentale. “Si tratta di impedire a regimi come la Corea del Nord di ottenere i mezzi per condurre una guerra nucleare”.
È questa consapevolezza uno dei motivi per l’Unione Europea ha deciso di introdurre un nuovo regime di sanzioni contro i responsabili di cyber-attacchi volti a danneggiare gli interessi Ue. La proposta, avanzata dall’Olanda dopo un cyber-attacco nel 2018 contro l’Organizzazione per la Proibizione delle Armi Chimiche che ha sede all’Aia, era attesa da tempo. L’Unione Europea vuole garantirsi il diritto di congelare i beni e impedire l’ingresso sul continente agli individui e alle organizzazioni considerati responsabili di cyber-attacchi.
In aggiunta fra pochi giorni i paesi del G7 terranno la loro prima simulazione di un attacco cibernetico transnazionale al settore finanziario. I test si baseranno su uno scenario che prevede un attacco malware a componenti tecnici ampiamente usati nel settore bancario. L’esercitazione di tre giorni mira infatti a dimostrare gli effetti transnazionali di un attacco cibernetico e coinvolgerà 24 istituzioni finanziarie dei sette Grandi, comprese banche e ministeri. Vi parteciperanno anche rappresentanti del settore privato di paesi come Italia, Francia, Germania e Giappone.
