Kim Jong-un ha un’arma segreta per difendere la Corea del Nord dall’urto delle sanzioni Onu. Non l’ennesimo test nucleare annunciato sulla tv di Stato da Ri Chun-hee, l’anchorwoman con il vestito rosa, ma un esercito di hacker sostenuto dal governo e scatenato contro la Corea del Sud. Lo rivela uno studio di un gigante della cybersecurity, la società FireEye, secondo cui il regime di Pyongyang avrebbe sponsorizzato una campagna di attacchi hacker per rubare da Seul milioni di dollari in bitcoins e altre monete virtuali.
Da aprile 2017 tre exchange sudcoreani di monete virtuali sono stati presi di mira da gruppi hacker riconducibili alla Corea del Nord. Il 22 aprile lo Yapizon, uno degli exchange più grandi del governo di Seoul, ha subito un attacco hacker che ha compromesso quattro portafogli, per una perdita totale di 3.800 bitcoins, ovvero 15 milioni di dollari. Quattro giorni dopo, il 26 dello stesso mese, l’Onu ha annunciato nuove sanzioni contro il regime di Kim.
I cybercriminali non hanno tardato a rispondere. Tra maggio e luglio i tre principali exchange di bitcoins sudcoreani sono stati aggrediti dai pirati informatici, tutti e tre seguendo la tattica dello spearphishing: mail inviate ai clienti contenenti link che fungono da esca, diffondendo notizie false sulle tasse o rimandando a rapporti sullo status dei bitcoins. Secondo Fire-Eye il malaware introdotto dagli hacker sarebbe il PEACHPIT, lo stesso usato dagli hacker nordcoreani che hanno attaccato i siti delle banche globali nel 2016.
Stando alle ricerche della società di consulenza, il gruppo incriminato è riconducibile al collettivo TEMP.Hermit, divenuto famoso nel 2015 con l’attacco all’industria nucleare della Corea del Sud, ma anche perché ritenuto responsabile delle aggressioni alla Samsung Electronics del 2016 e soprattutto del colpo sferrato agli studi della Sony Corp., secondo l’FBI collegato al regime nordcoreano.
Una volta rubati i bitcoins, gli hacker non possono trasformarli direttamente in won, renminbi cinesi o dollari. Prima devono convertirli in criptovalute più difficili da rintracciare, come il monero o l’ethereum, usatissime per le transazioni sui mercati del dark web come AlphaBay e Hansa per vendere stupefacenti, armi o documenti falsi.
La stessa tattica era stata usata dagli hacker responsabili del virus WannaCry, malaware che lo scorso maggio ha infettato più di 200.000 computer in tutto il mondo, prendendo in ostaggio i dati e i sistemi operativi di istituzioni e aziende come il Sistema Sanitario britannico, la FedEx Corp. o la PetroChina Co. Anche in quell’occasione società di ricerca come la FireEye e la Symantec Corp. avevano ricollegato l’attacco hacker al collettivo nordcoreano Lazarus.
Cosa hanno a che fare i furti cyber agli exchange sudcoreani con le sanzioni Onu al regime di Kim? “Probabilmente la vedono come una soluzione a bassissimo costo per portare nelle casse del cash” spiega a Bloomberg Luke Mcnamara, autore del rapporto di FireEye, “vediamo le sanzioni come un grande fattore di spinta di questo genere di attività”.
Un’attività che rischia di aumentare vertiginosamente nei prossimi mesi. In primis per la nuova ondata di sanzioni ONU che segue le ultime mattane nucleari di Kim Jong-un. Le ultime, approvate questo lunedì dai 15 membri del Consiglio di Sicurezza, peseranno come un macigno sulle casse di Pyongyang: gli Stati Uniti taglieranno il 90% delle esportazioni nel tessile, una perdita stimata in 726 milioni di dollari annui, mentre il 56% delle importazioni in combustibili verrà fermato.
Ma anche perché il mercato dei bitcoins e delle altre criptovalute diviene ogni giorno più redditizio. Nel 2012, a tre anni dalla loro creazione, valevano circa 2 dollari e costituivano un’economia da 170 milioni di dollari. Oggi, secondo Coindesk, i bitcoins sono arrivati a valere (dati del 12 settembre) 4183 dollari l’uno, e solo nel 2016 ogni giorno ne sono stati commerciati 103,4 milioni di dollari, con la Cina che copre una quota di mercato del 35%.
