Hacker nordcoreani all’attacco: ecco come finanziano Pyongyang

Furti di criptovalute e riciclaggio virtuale a favore del programma nucleare

Roma, 4 apr. (askanews) – Un gruppo di hacker nordcoreani conosciuto come Kimsuky ha rubato criptovaluta per finanziare le operazioni di spionaggio relative al suo programma nucleare. L’ha detto Mandiant, la sussidiaria di sicurezza informatica di Google, accendendo un ulteriore faro sulle operazioni di finanziamento illegali che sono alla base del programma nucleare di Pyongyang.

In un rapporto pubblicato sul suo blog, Mandiant ha affermato di aver tracciato il conglomerato di hacker sostenuto dallo stato nordcorrano – classificato come APT43 – negli ultimi cinque anni e di aver scoperto che Kimsuky ha commesso crimini informatici per sostenere finanziariamente il programma di armi nucleari di Pyongyang.

“Si tratta di un’unità in grado di compiere una serie di crimini informatici prendendo di mira in particolare la criptovaluta”, ha affermato Luke McNamara, principale analista di Mandiant, in una conferenza stampa online per i media sudcoreani, secondo quanto riferisce l’agenzia di stampa Yonhap. “Riteniamo – ha continuato – che la loro missione principale sia lo spionaggio informatico, la raccolta di segreti per il governo nordcoreano, in particolare sulla politica nucleare”.

APT43 fa parte del cosiddetto Ufficio generale di ricognizione del governo nordcoreano, che sovrintende a una serie di funzioni nell’articolata galassia dei servizi segreti nordcoreani. Assieme ad APT43 operano gruppi conosciuti come APT38, Temp Hermit e Andariel. In termini più generali, questo apparato di hacker è chiamato “Lazarus”, un nome che s’è conquistato gli onori delle cronache anche in Occidente dopo l’attacco contro la Sony Pictures di qualche anno fa.

Si ritiene che questi gruppi condividano malware e codici di hacking per svolgere la loro missione di portare denaro al governo nordcoreano per finanziare il programma di armi.

“APT43 svolge una serie di diverse attività motivate finanziariamente, focalizzate principalmente sul furto di criptovaluta”, ha affermato McNamara. Il gruppo inoltre ha mostrato una particolare abilità nel riciclare le criptovalute rubate attraverso servizi di cloud mining, riuscendo così a nascondere le tracce di questi fondi rubati.

Questi fondi sono stati poi utilizzati per finanziare la raccolta d’informazioni sulle armi nucleari, inviando e-mail di “spear phishing” rivolte a politici o ricercatori in Corea del Sud e negli Stati Uniti nelle quali si chiedevano opinioni approfondite su questioni nordcoreane. “Non hanno avuto nemmeno bisogno di inviare malware. Hanno semplicemente chiesto a qualcuno che stava lavorando su questioni politiche di fornire la loro analisi strategica di ciò che stava accadendo”, ha segnalato McNamara. “E molti obiettivi che hanno ricevuto queste e-mail hanno risposto liberamente e hanno dato risposte all’APT43, un apparato dell’intelligence della Corea del Nord”.

APT43 ha anche contattato aziende farmaceutiche globali per ottenere informazioni sui vaccini e sul trattamento Covid-19 durante la pandemia, ha affermato l’esperto di Google.

Le unità cyber dell’intelligence nordcoreana sono particolarmente avanzate e svolgono un ruolo cruciale nel fornire sostegno finanziario al governo di Pyongyang in un momento di intensa attività militare e nell’imminenza – secondo diverse intelligence – di un nuovo test nuclerare.