Quando si parla della postura militare della Corea del Nord si tende ad evidenziare il deterrente nucleare come il fiore all’occhiello della strategia del regime sullo scacchiere internazionale. Gli enormi passi avanti fatti da Pyongyang nello sviluppo tecnologico di missili balistici certamente costituiscono un affronto per gli Stati Uniti, ma la possibilità che tale arsenale venga utilizzato contro Washington e i suoi alleati rimane un’ipotesi ben lontano dalla realtà. Un pericolo più concreto, non solo per gli USA, ma anche per il resto della comunità internazionale, è costituito dall’intensificarsi dei cyberattacchi portati avanti dal regime di Kim Jong-un. Negli ultimi dieci anni, la Repubblica Democratica Popolare di Corea (DPRK) ha fatto della cyberguerra uno dei principali strumenti con cui danneggiare i propri nemici sullo scenario globale, aggiungendo quindi un nuovo e meno visibile fattore di deterrenza al proprio arsenale.
Agendo nel cyberspazio, Pyongyang ha ottenuto la capacità di sottrarre risorse finanziarie ad enti governativi e banche, ma anche di appropriarsi di informazioni riservate, dati personali e tecnologie militari. Tale è il pericolo costituito dalle azioni illecite della DPRK che intere economie potrebbero, teoricamente, essere devastate; una distruzione non fisica che porrebbe i cyberattacchi, almeno nelle logiche della deterrenza, sullo stesso piano dell’arsenale nucleare del regime.
La cyberguerra nord-coreana
A partire dal 2010, il numero di cyberattacchi perpetrati dalla Corea del Nord è aumentato costantemente. Nel 2014, gli USA hanno accusato la DPRK di aver infiltrato i sistemi informatici della Sony, provocando la perdita di diversi dati riservati e la distruzione di numerose informazioni. Tale offesa è stata attuata in seguito alle minacce di Pyongyang alla Sony Picture Entertainment per impedire la distribuzione del film comico ‘The Interview’, il quale ritrae proprio il leader nord-coreano Kim Jong-un.
Altri cyberattacchi hanno avuto invece lo scopo di impossessarsi illecitamente di risorse finanziarie. Il fine ultimo sarebbe quello di incrementare il Prodotto Interno Lordo del Paese, costantemente sotto pressione a causa delle sanzioni economiche internazionali. Nel 2016, i cybercriminali del regime hanno sottratto 81 milioni alla Banca centrale del Bangladesh, trasferendo il denaro in diversi conti nelle Filippine per poi farne perdere le tracce.
Il caso più emblematico delle nuove capacità della DPRK in termini di cyberguerra è costituito dal ransomware WannaCry 2.0 del 2017. Il virus in questione ha infettato ben 300 mila computer in 150 Paesi diversi, criptandone i contenuti e richiedendo ai legittimi proprietari di pagare ingenti somme di denaro per rilasciare i file trafugati. L’attacco è stato ricondotto dal dipartimento di giustizia statunitense al programmatore nord-coreano Park Jin-hyok, successivamente accusato di aver perpetrato l’attacco per conto del regime di Pyongyang.
Altri episodi invece hanno avuto l’obiettivo di raccogliere intelligence. Ad esempio, nell’ottobre del 2018 gli hacker nord-coreani sono riusciti ad entrare in possesso di informazioni concernenti l’acquisizione di aerei da combattimento di nuova generazione da parte della Corea del Sud. Il furto è stato effettuato tramite l’hackeraggio di circa dieci computer governativi del Defense Acquisition Program Administration (DAPA), ossia l’agenzia governativa sud-coreana incaricata della gestione di programmi finalizzati al miglioramento delle capacità difensive del Paese.
Sempre nel 2018, i dati personali di mille disertori emigrati dalla DPRK e rifugiatisi in Corea del Sud sono stati sottratti dagli hacker di Pyongyang a un centro di ricollocamento per i rifugiati, esponendo, quindi, le loro famiglie ancora in patria ad eventuali rappresaglie di regime.
Criptomonete: un’opportunità per Pyongyang
Sebbene i cyberattacchi nord-coreani costituiscano un fattore di deterrenza indipendente dall’arsenale nucleare di Pyongyang, i due elementi non necessariamente vanno considerati in maniera totalmente separata. La sottrazione di risorse finanziare di fatto rappresenta un metodo efficace per accumulare i mezzi economici necessari per lo sviluppo di nuovi vettori balistici. In tal senso, la costante diffusione di criptomonete si rivela essere una grande opportunità per il regno eremita, il quale sta sfruttando a pieno la vulnerabilità di tali valute per rimpinguare le proprie casse.
Le criptomonete sono un mezzo di scambio online che utilizza funzioni di crittografia per condurre transazioni finanziarie. La caratteristica principale delle criptovalute è il fatto che esse non sono controllate da un’autorità centrale in quanto non emesse da Stati, sfuggendo, quindi, ad ogni forma di controllo o interferenza governativa. Inoltre, non essendo connesse a conti bancari, le valute virtuali consentono di tagliare i costi di transazione al minimo e di eseguire trasferimenti di denaro direttamente tra due privati in maniera anonima. Ne risulta un sistema di scambio globale estremamente flessibile e scevro da vincoli.
Tuttavia, proprio questa anonimità delle criptomonete consente ai cybercriminali, in caso di appropriazione illecita, di perdere facilmente ogni traccia, mentre le vittime di tali offese non hanno la possibilità di adire ad alcuna istituzione o organismo per tutelare i propri interessi, esattamente in virtù della connaturata decentralizzazione delle valute virtuali. Pyongyang ha saputo far tesoro di questa debolezza, riuscendo ad appropriarsi di ingenti risorse finanziarie da utilizzare per supportare il suo programma nucleare.
Nel 2018 la compagnia russa di cybersicurezza Group IB ha rilasciato un report con il quale si accusa la Corea del Nord di aver orchestrato un furto in criptomonete del valore di 571 milioni di dollari. Le valute virtuali oggetto sono la giapponese Coincheck e la sud-coreana YouBit. I cyberattacchi in questione sono stati perpetrati a partire dal 2017 da un’unità di hacker nota come Lazarous Group sospettata di essere connessa con Pyongyang.
La strategia della DPRK consiste nel prendere di mira magnati dell’industria e i grandi investitori in modo tale da appropriarsi della maggior quantità possibile di criptomonete. Tali aggressioni sono soprattutto condotte contro cittadini della Corea del Sud, dove solo nell’aprile del 2018 sono stati riportati circa 30 casi di cyberfurti, un dato che potrebbe essere molto più grande in considerazione della difficoltà nel rivelare tali attività criminali.
L’Unità 121 e gli hacker in Corea del Nord
Che la Corea del Nord abbia ormai raggiunto un alto livello di competenza nella cyberguerra è ben chiaro. Ma come è stato creato il suo esercito di hacker? Il regno eremita rimane ancora un Paese molto povero, in cui pochi cittadini hanno accesso a computer e ancora meno al Kwangmyong, l’intranet utilizzata nella DPRK. Tale fatto esclude uno sviluppo organico delle competenze necessarie a perpetrare cyberattacchi su scala globale, lasciando invece nelle mani dello Stato l’intero processo di reclutamento e formazione.
L’interesse del Paese in tale settore risale agli anni Novanta quando, seguendo il modello cinese, i vertici di Pyongyang decisero di istituire l’Unità 121. Al giorno d’oggi, tale branca dei servizi d’intelligence è incaricata di condurre operazioni di infiltrazione e hackeraggio in Corea del Sud, Giappone e Stati Uniti. In base ad alcune stime, il numero di effettivi dell’unità 121 si aggira intorno ai 6.000 individui.
Il metodo di reclutamento prevede la selezione degli studenti migliori del sistema scolastico del regime. I ragazzi che presentano una maggiore attitudine per le materie scientifiche vengono quindi arruolati dal governo e inviati in Cina per seguire corsi di formazione in materia di scienze computazionali, mentre le conoscenze acquisite durante il percorso di studi vengono poi perfezionate sul campo.
La reazione della Corea del Sud
Come visto, la Corea del Sud è una delle principali vittime dei cyberattacchi nord-coreani. Di fatto, tra le due parti della penisola vige ancora uno stato di guerra dormiente, in cui le tattiche di hackeraggio di Pyongyang rappresentano lo strumento di offesa principale del regno eremita. Tali aggressioni vengono attuate giornalmente al fine di bloccare siti governativi, portali online, banche, televisioni, bancomat e siti d’informazione.
Di fronte a tale situazione, il governo di Seoul ha reagito istituendo nel 2010 il proprio programma dedicato alla cyber-difesa del Paese soprannominato Best of the Best. In quest’unità situata nella provincia di Gangnam, i migliori esperti di cyber security, molto spesso giovani intorno ai vent’anni, si dedicano alla difesa dell’infrastruttura informatica della nazione, approfondendo le proprie conoscenze in materia e effettuando operazioni di controspionaggio.
Nonostante tali iniziative, Seoul rimane molto vulnerabile ai cyberattacchi di Pyongyang. Come suggerito da Alexander Kilmburg, accademico ed esperto in materia di sicurezza informatica, la Corea del Sud è caratterizzata da un’architettura online prevalentemente localizzata. Gran parte del traffico in rete è rappresentato dalle interazioni tra utenti residenti in Corea del Sud, i quali utilizzano prodotti online e software coreani.
L’esempio più emblematico è quello del HWP (Hangul Word Processor), ossia un programma di scrittura digitale che, servendo esclusivamente il mercato interno, non è compatibile con molti software antivirus. Non a caso diversi casi di cyberattacchi perpetrati dalla Corea del Nord hanno utilizzato il basso livello di protezione dei file HWP per entrare in possesso di diversi dati e informazioni.
In fine, un’ulteriore inadeguatezza del sistema difensivo di Seoul è la mancanza di collaborazione tra il Servizio Nazionale d’Intelligence (NIS) e le altre agenzie governative. Di fatto, il NIS è l’ente responsabile dell’analisi degli attacchi informatici subiti dal Paese e riceve campioni di malware da diverse organizzazioni private. Tuttavia, a causa della sua natura segreta, non esistono canali formali adeguati che consentano al NIS di condividere le conoscenze acquisite con le altre branche governative, né tanto meno con la società civile.
Conclusioni
La guerra informatica costituisce un pilastro della strategia di Pyongyang. I cyberattacchi, grazie alla difficoltà nel rintracciare la loro origine, offrono una grande opportunità per il regno eremita, il quale giova oramai di un’efficace e meno costoso strumento di deterrenza oltre allo sviluppo del proprio arsenale nucleare. Tali vantaggi risultano ancora più evidenti se si considera l’impunità con cui la Corea del Nord riesce ad infiltrare le strutture informatiche dei propri nemici.
Il cyberspazio rappresenta ancora un’area piena di zone grigie, in cui non vi è un diritto internazionale consolidato che possa disciplinare le dinamiche interstatali. In questo modo, vige il dubbio su come reagire ad azioni di guerra informatica poiché non è chiaro se esse debbano essere considerate come un attacco militare o meno.
Inoltre, sebbene diverse offese siano state ricondotte alla Corea del Nord, non vi sono ancora prove schiaccianti in tale direzione. Le tecniche investigative non consentono, molto spesso, un’immediata identificazione del perpetratore, permettendo a Pyongyang di negare ogni accusa. La Corea del Nord sembra aver trovato la formula perfetta per la propria dottrina militare, la quale unisce la deterrenza nucleare all’impunità degli attacchi informatici; un esempio magistrale di guerra ibrida.
Fonti e Approfondimenti:
Ameer Rosic, ‘What is Cryptocurrency? [Everything You Need To Know!]‘, Blockgeeks, 2017
Crystal Tai, ‘North Korean cyberwarfare: as big a threat as its nuclear weapons?‘, South China Morning Post, 25 febbraio 2019
Dylan Stent, ‘Can the Cyber Terrorism Tactics of North Korea Be Deterred?‘, The National Interest, 23 settembre 2018
John Power, ‘Watch out. North Korean hackers are coming for your bitcoin‘, South China Morning Post, 29 novembre 2018
Patrick M. Cronin, ‘Why the World Should Fear North Korea’s Chemical and Cyber Weapons‘, The National Interest, 4 luglio 2017
Scott Ikeda, ‘Lessons for Organizations from the South Korea Defense Agency Cyber Attack‘, CPO Magazine
Steven Borowiec, ‘Best of the Best: the South Korean school for hackers hitting back against the North‘, The Guardian, 28 dicembre 2017
Steve Miller, ‘Where Did North Korea’s Cyber Army Come From?‘, Voa News, 20 novembre 2018
Tae-jun Kang, ‘South Korea Beefs Up Cyber Security With an Eye on North Korea‘, The Diplomat, 1 aprile 2015
‘US charges North Korean programmer Park Jin-hyok over WannaCry, Sony cyberattacks‘, South China Morning Post, 6 settembre 2018
