Si riducono i tempi delle cyber aggressioni a scopo di lucro della Corea del Nord. Lo confermano WannaCry e NotPetya

La Corea del Nord, e in particolare l’Unità 180, stanno accelerando l’offensiva informatica globale per reperire fondi Questa sta avvenendo con campagne ransomware, come quelle recenti con WannaCry e NotPetya. Lo sostengono diversi esperti, defezionasti e funzionari delle intelligence internazionali. Tutti hanno trovato prove tecniche che collegano WannaCry a Pyongyang, anche se in modo non definitivo. Inoltre, hanno rilevato che si accorciano i tempi tra i vari cyber attacchi. I fondi recuperati servono, infatti per velocizzare il completamento del programma nucleare balistico ICBM-SLBM. A questo proposito, i membri dell’Unità 180 prima hanno attaccato istituzioni finanziarie. Poi, hanno preso di mira l’intero spettro di internet, in quanto i livelli di protezione degli utenti medi (piccole e medie aziende comprese) sono meno elevate rispetto a quelle dei grandi gruppi. Di conseguenza, c”è maggiore possibilità di acquisire riscatti in breve tempo e i rischi sono minori.

Chi sono gli hacker dell’Unità 180

Ma chi sono i membri dell’Unità 180? Il gruppo fa parte dell’elite di hacker che conducono cyberwarfare all’interno dell’agenzia d’intelligence nazionale (Reconnaissance General Bureau, RGB). I membri sono reclutati dalle scuole medie superiori e ricevono formazione avanzata presso centri d’eccellenza del settore in Corea del Nord o all’estero. Hanno un certo grado di autonomia sia nel condurre le missioni sia nei compiti assegnati. L’obiettivo, invece, è unico: recuperare risorse economiche e finanziarie per Pyongyang senza lasciare traccia. Dagli Usa spiegano che sono una minaccia cyber di primo piano (APT) e che le loro aggressioni sono in crescita. Sia numericamente sia qualitativamente. Ciò a seguito dell’esigenza di Kim Jong-un di recuperare denaro il più velocemente possibile. Nonché a causa del fatto che la recente escalation di tensioni con gli Usa e il presidente Trump, ha ridotto drasticamente le già esigue tradizionali fonti di finanziamento del regime.

Come opera l’Unità 180

Gi hacker di stato nord coreani operano poco in patria per 2 motivi. Innanzitutto per evitare di lasciare tracce che possano condurre al regime di Kim Jong-un. Poi, in quanto le connessioni internet nel paese sono scarse e non garantiscono la stabilità e la velocità necessarie a condurre i cyber attacchi. Prediligono, invece, le azioni dall’estero. Per gli 007, i membri dell’Unità 180 operano sotto copertura (fornita dal’Ufficio 121 dell’RGB, che si occupa di tecnologia e propaganda sul web) come impiegati di imprese commerciali. Soprattutto in Cina e nel Sud-Est asiatico. Studiano mesi le loro vittime, anche con campagne di phishing e social engineeering, al fine di acquisire le informazioni necessarie per entrare nelle reti. Poi, colpiscono all’improvviso e spariscono per altrettanto tempo. La stretta distanza tra le ultime campagne ransomware, però, fa pensare che i tempi si siano accorciati. Tanto che si sta puntando sulla massa piuttosto che su singoli grandi bersagli. Meglio pochi soldi da tanti che molti da uno.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *