Condividi questo articolo
Gli hacker nordcoreani stanno eseguendo massicce rapine sponsorizzate dallo stato per finanziare la loro economia e il programma nucleare
Con il crescente grado di sofisticazione delle tattiche di infiltrazione della Corea del Nord, gli esperti di sicurezza affermano che l'industria delle criptovalute deve comprendere cosa distingue il regime da ogni altro hacker sostenuto da uno Stato — e perché questa differenza rappresenta una minaccia pericolosa per l'ecosistema.
Cosa sapere:
- Il furto di criptovalute della Corea del Nord rappresenta una questione di sopravvivenza economica in un modo in cui non lo è semplicemente per Russia o Iran — entrambe le quali dispongono ancora di economie, partner commerciali e beni da movimentare. Per Pyongyang, le criptovalute non sono un mezzo di pagamento. Sono un sostituto per un'economia colpita dalle sanzioni.
- Quel motivo esistenziale è ciò che rende la Corea del Nord particolarmente pericolosa per il settore delle criptovalute: essa porta la pazienza delle agenzie di intelligence e le risorse statali in quella che è, di fatto, una criminalità finanziaria organizzata, mirando all’ecosistema stesso piuttosto che usarlo come mezzo per un fine geopolitico.
La Corea del Nord campagna di infiltrazione di sei mesi presso Drift ha scosso un settore delle criptovalute già alle prese con exploit da oltre un miliardo di dollari.
Ma mentre la notizia si assestava, una questione più ampia è emersa: perché la Corea del Nord continua a tornare alle criptovalute in primo luogo, e perché il suo approccio appare così diverso da ogni altra operazione di hacking sostenuta dallo stato sul pianeta?
La risposta breve, secondo gli esperti di sicurezza, è che la criptovaluta aiuta a fornire al regime una fonte di entrate e a mantenerlo a galla.
«La Corea del Nord non può permettersi il lusso della pazienza», ha dichiarato Dave Schwed, direttore operativo di SVRN e fondatore del programma di master in cybersecurity presso la Yeshiva University. «Sono sottoposti a sanzioni internazionali comprehensive e hanno bisogno di valuta forte per finanziare i programmi di armamenti. L'ONU e molteplici agenzie di intelligence »hanno confermato che il furto di criptovalute è una delle principali fonti di finanziamento meccanismo per il loro sviluppo nucleare e missilistico balistico."
Quell'urgenza spiega una dinamica che da tempo ha lasciato perplessi gli investigatori: perché la Corea del Nord gli hacker effettuano attacchi su larga scala, rapine tracciabili su blockchain pubbliche invece di utilizzare discretamente le criptovalute per eludere le sanzioni come fanno altri attori statali.
La risposta, sostiene Schwed, è di natura strutturale. La Russia ha ancora un’economia: petrolio, gas, esportazioni di materie prime e partner commerciali disposti a utilizzare soluzioni alternative. Ha bisogno delle criptovalute come mezzo di pagamento, ma non per molto altro. Anche l’Iran ha merci da movimentare — petrolio sanzionato, reti di finanziamento proxy, intermediari disponibili in tutto il Medio Oriente. La Corea del Nord ha quasi nulla da vendere.
"Le loro esportazioni sono quasi completamente sanzionate. Non hanno un'economia funzionante che necessiti di un sistema di pagamento. Hanno bisogno di entrate dirette," ha dichiarato Schwed. "Il furto di criptovalute offre loro accesso immediato a valore liquido, a livello globale, senza necessitare di una controparte disposta a fare affari con loro."
Questa distinzione — la crypto come infrastruttura rispetto alla crypto come bersaglio — è ciò che separa la Corea del Nord non solo dalla Russia, ma anche dall'Iran. Mentre la Russia instrada denaro attraverso le criptovalute per aggirare le sanzioni, e Iran lo utilizza per finanziare reti proxy in tutto il Medio Oriente, la Corea del Nord sta gestendo qualcosa di più vicino a un'operazione di rapina sponsorizzata dallo stato.
"I loro obiettivi sono gli exchange, i fornitori di wallet, i protocolli DeFi e gli ingegneri e fondatori individuali che hanno autorità di firma o accesso all'infrastruttura," ha dichiarato Alexander Urbelis, chief information security officer di ENS Labs e professore di cybersecurity presso il King's College di Londra. "La vittima è chiunque detenga le chiavi o l'accesso all'infrastruttura che custodisce le chiavi."
La Russia e l'Iran, in confronto, trattano le criptovalute come incidentali, un mezzo per fini geopolitici più ampi.
"La Russia prende di mira elezioni, infrastrutture energetiche e sistemi governativi. L'Iran si concentra su dissidenti e avversari regionali," ha dichiarato Urbelis. "Quando uno dei due si occupa di criptovalute, lo fa per spostare denaro, non per rubarlo dall'ecosistema."
Quell'attenzione esclusiva ha spinto gli operatori nordcoreani ad adottare tattiche più comunemente associate alle agenzie di intelligence che agli hacker criminali: costruzione di relazioni che durano mesi, identità fabbricate e infiltrazione nella catena di approvvigionamento.
La campagna Drift è solo l'esempio più recente.
"Non stai difendendo da un'email di phishing inviata da un truffatore qualsiasi," ha detto Urbelis. "Stai difendendo da qualcuno che ha trascorso sei mesi a costruire una relazione specificamente per compromettere una persona che ha l'accesso che devi proteggere."
L'architettura unica della criptovaluta la rende un terreno di caccia particolarmente attraente. Nella finanza tradizionale, anche gli attacchi informatici di successo incontrano attriti sotto forma di verifiche di conformità, controlli delle banche corrispondenti, ritardi nel regolamento e la possibilità di annullare trasferimenti fraudolenti. Quando gli hacker della Corea del Nord hanno effettuato dalla rapina alla Bangladesh Bank nel 2016, la rapina ha richiesto giorni per essere elaborata e la maggior parte dei fondi è stata infine recuperata o bloccata. Nel mondo delle criptovalute, nessuna di queste protezioni esiste a livello di protocollo.
"Una volta che una transazione è firmata e confermata, è definitiva," ha dichiarato Urbelis. La Sfruttamento di Bybit all'inizio dello scorso anno ha trasferito 1,5 miliardi di dollari in circa 30 minuti, un ritmo e una scala che sarebbero quasi impossibili nel sistema bancario tradizionale.
Quella finalità cambia fondamentalmente il calcolo della sicurezza. Nel settore bancario, una difesa ragionevole può essere costruita attraverso prevenzione, rilevamento e risposta, poiché esiste sempre una finestra temporale per congelare i fondi o annullare un bonifico. Nel settore crypto, quella finestra è quasi inesistente, il che significa che fermare un attacco prima che avvenga non è solo preferibile — è sostanzialmente l’unica opzione.
E mentre le banche operano sotto decenni di linee guida normative e requisiti di audit, molti progetti crypto stanno ancora improvvisando — spesso dando priorità alla velocità e all'innovazione rispetto alla governance e ai controlli.
Questa lacuna crea un ambiente in cui anche i team più sofisticati possono essere vulnerabili, in particolare ai tipi di tattiche di infiltrazione a lungo termine che la Corea del Nord ha perfezionato.
"Questo è il problema di sicurezza operativa più complesso nel settore crypto al momento," ha dichiarato Urbelis riferendosi alla sfida di verificare l’autenticità di identità false sofisticate e di intermediari terzi. "Non credo che l’industria l’abbia risolto."
More For You
Andrew Gault, il venture capitalist che ha finanziato i laboratori di hardware quantistico ora minacciosi per bitcoin, afferma che il settore sta guardando nella direzione sbagliata. Il team di sicurezza di Google ha preso la stessa direzione a marzo.
What to know:
- Gli esperti di sicurezza avvertono che la minaccia quantistica più urgente per bitcoin e per l'intero sistema finanziario non riguarda le chiavi dei portafogli, ma i dati di autenticazione crittografati già in transito tra le istituzioni e che vengono raccolti silenziosamente oggi.
- Gli avversari stanno perseguendo una strategia di “raccogli...
Storie Da Non Perdere
