Si riducono i tempi delle cyber aggressioni a scopo di lucro della Corea del Nord. Lo confermano WannaCry e NotPetya

La Corea del Nord, e in particolare l’Unità 180, stanno accelerando l’offensiva informatica globale per reperire fondi Questa sta avvenendo con campagne ransomware, come quelle recenti con WannaCry e NotPetya. Lo sostengono diversi esperti, defezionasti e funzionari delle intelligence internazionali. Tutti hanno trovato prove tecniche che collegano WannaCry a Pyongyang, anche se in modo non definitivo. Inoltre, hanno rilevato che si accorciano i tempi tra i vari cyber attacchi. I fondi recuperati servono, infatti per velocizzare il completamento del programma nucleare balistico ICBM-SLBM. A questo proposito, i membri dell’Unità 180 prima hanno attaccato istituzioni finanziarie. Poi, hanno preso di mira l’intero spettro di internet, in quanto i livelli di protezione degli utenti medi (piccole e medie aziende comprese) sono meno elevate rispetto a quelle dei grandi gruppi. Di conseguenza, c”è maggiore possibilità di acquisire riscatti in breve tempo e i rischi sono minori.

Chi sono gli hacker dell’Unità 180

Ma chi sono i membri dell’Unità 180?  Il gruppo fa parte dell’elite di hacker che conducono cyberwarfare all’interno dell’agenzia d’intelligence nazionale (Reconnaissance General Bureau, RGB). I membri sono reclutati dalle scuole medie superiori e ricevono formazione avanzata presso centri d’eccellenza del settore in Corea del Nord o all’estero. Hanno un certo grado di autonomia sia nel condurre le missioni sia nei compiti assegnati. L’obiettivo, invece, è unico: recuperare risorse economiche e finanziarie per Pyongyang senza lasciare traccia. Dagli Usa spiegano che sono una minaccia cyber di primo piano (APT) e che le loro aggressioni sono in crescita. Sia numericamente sia qualitativamente. Ciò a seguito dell’esigenza di Kim Jong-un di recuperare denaro il più velocemente possibile. Nonché a causa del fatto che la recente escalation di tensioni con gli Usa e il presidente Trump, ha ridotto drasticamente le già esigue tradizionali fonti di finanziamento del regime.

Come opera l’Unità 180

Gi hacker di stato nord coreani operano poco in patria per 2 motivi. Innanzitutto per evitare di lasciare tracce che possano condurre al regime di Kim Jong-un. Poi, in quanto le connessioni internet nel paese sono scarse e non garantiscono la stabilità e la velocità necessarie a condurre i cyber attacchi. Prediligono, invece, le azioni dall’estero. Per gli 007, i membri dell’Unità 180 operano sotto copertura (fornita dal’Ufficio 121 dell’RGB, che si occupa di tecnologia e propaganda sul web) come impiegati di imprese commerciali. Soprattutto in Cina e nel Sud-Est asiatico. Studiano mesi le loro vittime, anche con campagne di phishing e social engineeering, al fine di acquisire le informazioni necessarie per entrare nelle reti. Poi, colpiscono all’improvviso e spariscono per altrettanto tempo. La stretta distanza tra le ultime campagne ransomware, però, fa pensare che i tempi si siano accorciati. Tanto che si sta puntando sulla massa piuttosto che su singoli grandi bersagli. Meglio pochi soldi da tanti che molti da uno.