Dall’impero del male all’asse del male fino all’asse del cyber? Nel 2002 l’allora presidente statunitense George W. Bush riprese l’espressione impero del male utilizzata 14 anni prima dal suo predecessore Ronald Reagan per definire l’Unione Sovietica. Ma la trasformò in asse del male per identificare Iraq, Iran, Corea del Nord e successivamente anche Cuba, Libia e Siria come Stati sponsor del terrorismo. Dopo il referendum scozzese del 2014, quello per la Brexit del 2016 e le elezioni presidenziali statunitensi dello stesso anno, la dimensione cibernetica dei conflitti è diventata sempre più prioritaria. E sempre più analisti hanno iniziato a parlare di asse del cyber: è sufficiente dare un’occhiata a un recente studio di Microsoft per scoprire — o per meglio dire confermare le impressioni e diversi rapporti delle intelligence occidentali — che la Russia è il principale attori statuale in questo tipo di attacchi, seguita da Cina, Iran e Corea del Nord.

Uno dei target preferiti sono le elezioni. Basti pensare che una ricerca del think tank australiano Aspi ha rivelato che ben 41 elezioni e sette referendum che tra 2010 e 2020 sono stati colpiti da interferenze cibernatiche (tra questi 48, due casi in l’Italia).

A meno di una settimana dalle elezioni presidenziali e con molti elettori che già hanno scelto di esprimere la loro preferenza tramite voto postale già da diverse settimane, le agenzie di intelligence statunitensi sono al lavoro per contrastare gli sforzi di interferenze. Nelle ultime settimane sono stati lanciati allarmi e prese contromisure rispetto a tentativi di intromissione da parte di hacker cinesi, russi e iraniani. Oggi le principali agenzie governative di cybersicurezza statunitensi hanno lanciato un allarme congiunto in relazione alle attività di un gruppo di hacker del regime nordcoreano conosciuto come Kimsuky.

In un rapporto tecnico, la Cybersecurity and Infrastructure Security Agency, l’Fbi e il Cyber Command Cyber National Mission Force hanno analizzato “le tattiche, le tecniche e le procedure” usate dal gruppo per “ottenere intelligence su varie temi di interesse a favore del governo della Corea del Nord”. Kimsuky, secondo il rapporto congiunto, è particolarmente impegnato nelle operazione di cyberspionaggio soprattutto su questioni connesse alla Penisola coreana, alla politica nucleare e al tema delle sanzioni. Le agenzie richiedono “un aumentato stato di consapevolezza” agli individui e alle organizzazioni, ma anche alle imprese, che in qualche modo potrebbero esserne obiettivo.

Il rapporto fa una lista lunga di malware ai quali Kimsuky è collegato, tra i quali anche WannaCry nel 2017. Secondo Mitre, il gruppo è nato nel 2013 ed è dietro gli attacchi informatici che crearono apprensione con gli attacchi contro la compagnia sudcoreana Korea Hydro & Nuclear Power. Kimsuky è considerata una punta di diamante delle attività cyber della Corea del Nord, che in codice è definita dalle agenzie statunitensi come Hidden Cobra. Tra queste, la più spettacolare certamente l’azione contro la Sony Pictures nel 2014, con l’obiettivo di sabotare l’uscita del film The Interview che metteva in scena l’uccisione del leader Kim Jong Un e che aveva fatto infuriare Pyongyang. Kimsuky è solo uno dei gruppi legati alla Corea del Nord a realizzare azioni cybercriminali. L’altro famoso gruppo è il Lazarus, rispetto al quale però Kimsuky appare più concentrata su obiettivi strategici e legati all’intelligence.