La Corea del Nord è tornata in prima pagina con la sicurezza informatica grazie ai suoi legami con il Lazarus Group mentre conduce un'altra rapina informatica di successo. Questa volta il famigerato Lazarus Group, un gruppo di hacker sponsorizzato dallo stato nordcoreano altamente sospetto fondato tra il 2007 e il 2009, ha rubato 100 milioni di dollari di criptovaluta Harmony.
Che ci crediate o no, questa non è la rapina più famosa di questo misterioso gruppo, poiché è già stato coinvolto in attacchi a Sony e virus come WannaCry. Allora, perché il Lazarus Group ha così tanto successo? Scopriamolo di seguito.
Il gruppo di Lazzaro: quanto è pericoloso?
La sicurezza informatica sta diventando uno dei campi più controversi degli ultimi anni. Abbiamo dispositivi sempre più connessi ma ci siamo preoccupati poco di proteggerli. E non succede solo con gli utenti ma anche con le aziende. Ecco perché gli attacchi stanno diventando sempre più frequenti e sempre più potenti.
Tra le organizzazioni che attaccano le corporazioni, il nome Lazarus (a volte indicato come DarkSeoul, Guardians of Peace e Hidden Cobra) ha acquisito un rilievo particolare tra gli hacker.
Questo misterioso gruppo di hacker è dietro alcuni degli attacchi informatici di maggior successo e distruttivi degli ultimi anni. Il National Cyber Security Center (NCSC), la NSA e l'FBI del Regno Unito collocano questo gruppo in cima alla lista delle entità pericolose per la sicurezza nazionale. E quel poco che si sa di loro è che i membri hanno probabilmente sede in Corea del Nord, la nazione più isolata del mondo.
Quali sono alcuni degli attacchi più famigerati del gruppo Lazarus?
Il suo primo attacco era noto come "Operazione Fiamma". È stato realizzato nel 2007 e ha utilizzato malware di prima generazione contro il governo sudcoreano. Poi è seguita "Operazione Troy", avvenuta tra il 2009 e il 2012. Questi due attacchi erano di base per complessità; il gruppo ha rimosso i siti Web del governo sudcoreano inondando i loro server di richieste.
Nel marzo 2011, il gruppo ha lanciato "Ten Days of Rain", che si è rivelato essere un Attacco DDoS che prendeva di mira i media, le infrastrutture finanziarie e critiche in Corea del Sud. Le infrastrutture critiche sono sempre state un obiettivo preferito per gli hacker per la sua importanza nelle attività quotidiane.
L'attacco alla Sony Pictures
Il famigerato attacco alla Sony Pictures è arrivato nel 2014, che ha portato il gruppo sulla scena mondiale. Per un certo periodo, questo attacco è stato considerato uno dei più grandi nella storia della criminalità informatica.
Durante l'attacco, il Lazarus Group ha rubato informazioni riservate all'azienda, smascherate corrispondenza confidenziale tra i livelli di regia, produzione e recitazione e persino trapelata film inediti. Gli attacchi sono stati lanciati come rappresaglia per l'uscita del film "The Interview", che ritrae Kim Jong-un in modo sciocco.
Attacchi a banche e criptovalute
Nel 2015, il Gruppo Lazarus ha anche iniziato ad attaccare banche in tutto il mondo, inclusi Ecuador e Vietnam. Questi erano il Banco del Austro e la Tien Phong Bank. Inoltre, ha anche tentato di attaccare banche in Polonia, Cile e Messico. Nel 2016, gli attacchi alle banche del gruppo sono diventati più sofisticati e sono persino riusciti a rubare 81 milioni di dollari dalla Banca del Bangladesh. Nel 2017 ha anche tentato di rubare 60 milioni di dollari a una banca taiwanese.
Ora il Lazarus Group si sta concentrando sugli attacchi di criptovaluta. L'attacco più importante ha colpito i proprietari sudcoreani di Bitcoin e Monero; questo è il motivo per cui il gruppo ora ha scelto di rubare la criptovaluta Harmony.
Il Lazarus Group è composto da hacker nordcoreani?
Sebbene non sia mai stato dimostrato, come con la maggior parte degli attacchi informatici, gli esperti sono molto fiduciosi che il gruppo operi sotto il sostegno finanziario e la richiesta del governo nordcoreano. Ciò spiegherebbe gli attacchi della Sony Pictures e la sua costante fissazione di attaccare le infrastrutture e le istituzioni sudcoreane.
La verità è che sappiamo molto poco del gruppo. Non è noto se questi siano nordcoreani cyber soldati o semplicemente hacker internazionali assunti dalla Corea del Nord; in ogni caso l'identità dei membri del gruppo è anonima, anche se una cosa è certa, lavorano come una squadra molto efficace.
C'è anche una teoria secondo cui il gruppo non ha nulla a che fare con la Corea del Nord e che questo è semplicemente un modo per distogliere l'attenzione dalla sua origine naturale. In ogni caso, è improbabile che Stati Uniti e Regno Unito abbiano incolpato la Corea del Nord per le azioni del gruppo in passato.
Come attacca il gruppo Lazzaro?
Gli attacchi di Lazarus Group sono passati da rozzi a sofisticati, dall'attaccare e fare danni all'ottenere il massimo beneficio possibile da ogni azione. Sebbene il gruppo abbia iniziato in modo molto amatoriale contro la Corea del Sud, è diventato un'organizzazione molto professionale e pericolosa con obiettivi monetari più specifici.
La NSA, l'FBI e persino la società russa di sicurezza informatica Kaspersky Labs hanno indagato sugli attacchi finanziari e sul modus operandi del gruppo. Gli hacker di solito compromettono un singolo sistema all'interno di una banca da dove procedono a infiltrarsi nell'intera organizzazione.
Dopo l'infezione iniziale, il gruppo ha quindi trascorso diverse settimane a indagare sui sistemi di destinazione, una tattica standard nella guerra informatica (l'USCYBERCOM opera in modo simile). Una volta che il gruppo ha mappato perfettamente l'organizzazione target e raccolto dati sufficienti, ha iniziato a rubare denaro.
Sebbene gli attacchi alle banche del gruppo siano i più noti, i suoi hacker attaccano anche casinò, attività di criptovaluta e società di investimento. Alcuni dei suoi paesi target preferiti sono Corea del Sud, Messico, Costa Rica, Brasile, Uruguay, Cile, Polonia, India e Thailandia.
A causa di carestie, sanzioni e politiche economiche fallite, la valuta della Corea del Nord è costantemente diminuita negli ultimi decenni. Mentre Kim Jong-il (il padre dell'attuale leader, Kim Jong-un) si è concentrato sul tenere il mondo in cerca di riscatto attraverso attacchi e minacce a acquisire aiuti internazionali e allentare le sanzioni, suo figlio ha preferito reindirizzare l'esercito e la popolazione nordcoreani da cui generare entrate all'estero.
Questo aiuta la Corea del Nord a guadagnare valuta straniera per sostenere la sua ricerca e sviluppo militare e di armi di distruzione di massa e, in un certo senso, rafforzare la sua valuta e la sua economia. Ci sono molti modi in cui Kim Jong-un genera reddito dall'estero; ad esempio, affitta i nordcoreani come manodopera a basso costo, manda medici e consulenti militari all'estero a un prezzo, vende armi e usa gli hacker per rubare denaro.
Inizialmente, l'esercito di hacker della Corea del Nord (come a volte viene chiamato il gruppo) eseguiva principalmente operazioni dirompenti contro i nemici dello stato. Ma quando Kim Jong-il è morto nel 2011, Kim Jong-un ha cambiato le politiche e ora gli hacker hanno dedicato la maggior parte dei loro sforzi a rapinare banche e creare virus ransomware. Ecco perché fino al 2011, il Lazarus Group ha ancora attaccato i siti e le infrastrutture del governo sudcoreano.
Potrebbe essere solo l'inizio?
Il Lazarus Group si è trasformato da un gruppo amatoriale a un gruppo di hacker ben finanziato e capace, sponsorizzato dallo stato. Dalla sua fondazione, gli attacchi del gruppo sono diventati sempre più devastanti e complessi e finora nessuno è stato in grado di perseguitarli. Senza ripercussioni e protezione dello stato nordcoreano, sembra che questo gruppo abbia solo il potenziale per crescere e diventare ancora più pericoloso, ma solo il tempo lo dirà.
