L’ultimo colpo realizzato è stato il furto del suo genere più grande della storia: 1,5 miliardi di dollari in criptovalute rubate all’exchange Bybit, un colosso con sede a Dubai. È bastato un attacco informatico ben preparato per consentire agli hacker del Lazarus Group di impossessarsi dell’enorme bottino di token digitali. E portare il ricavato in Corea del Nord, da dove questo gruppo di cyber-guerrieri lavora quasi 24 ore su 24 per raccogliere denaro dai canali globali e usarlo per lo sviluppo (militare e non solo) del loro Paese.
A dire il vero, non sappiamo se i sospettati siano davvero i cyber-guerrieri di Kim Jong Un, ma l’Fbi non ha dubbi: le tracce portano dritte a Pyongyang. Gli smanettoni del governo nordcoreano sono in ogni caso diventati i numeri uno nel riciclaggio di criptovalute. Lo hanno dimostrato lo scorso 21 febbraio, quando hanno presumibilmente raggirato uno dei fornitori di Bybit, che è finito, senza saperlo né volerlo, a inviare i fondi (401.000 criptovalute Ethereum) al portafoglio degli hacker di Kim.
Certo, la Corea del Nord non ha mai ammesso di essere dietro al Lazarus Group, ma le intelligence occidentali sono convinte che sia l’unico Paese al mondo a usare i suoi poteri di hackeraggio per ottenere profitti economici.
Maestri nel furto di criptovalute
Gli hacker del Lazarus Group si sono evoluti. Mentre in passato erano soliti prendere di mira le banche, nell’ultimo quinquennio si sono specializzati negli attacchi contro le società di criptovalute, un settore più vulnerabile e meno protetto rispetto a quello bancario.
Tra i recenti colpi andati a segno si elencano: il furto di 41 milioni di dollari da UpBit nel 2019; quello da 275 milioni da KuCoin (in questo caso, la maggior parte dei fondi è stata recuperata); l’attacco da 600 milioni a Ronin Bridge (2022); e i 100 milioni rubati in un raid informatico all’Atomic Wallet nel 2023.
Nel 2020, gli Stati Uniti hanno inserito i nordcoreani accusati di far parte del Lazarus Group nella lista nera dei Cyber Most Wanted. Peccato che le possibilità che questi tizi lascino la Corea del Nord per essere arrestati siano pressoché nulle…
L’ultimo colpo da 1,5 miliardi effettuato dal Lazarus Group ai danni di Bybit è superiore al valore totale delle cripto rubate dallo stesso gruppo nel 2024 (1,3 miliardi) ed è quasi il triplo dei 660,5 milioni trafugati nel 2023. Ah, e non è finita qui, perché secondo la società di cripto-investigazioni Chainalysis, oltre il 60% delle criptovalute rubate un anno fa sarebbero finite nei wallet di Kim.
Come fanno per rubare le criptovalute? Ci sono vari passaggi, a partire dalla violazione dei sistemi di un bersaglio. I nordcoreani possono impiegare diversi metodi: dall’invio di e-mail di phishing (con codici dannosi) all’utilizzo di false identità per essere assunti in lavori IT da remoto presso aziende straniere. A quel punto, una volta “entrati” nel sistema e rubato il bottino, la criptovaluta deve essere riciclata. Il denaro sporco viene solitamente distribuito su più portafogli digitali, combinato con fondi puliti e mescolato (il cosiddetto mixing). Infine, i fondi rubati devono essere incassati.
Gli hacker di Pyongyang
Le capacità degli hacker nordcoreani sono frutto di uno sforzo durato decenni. Le prime scuole di informatica della Corea del Nord risalgono almeno agli anni ’80. Negli anni successivi, Pyongyang ha sempre dato risalto e importanza agli studenti di informatica, al punto che Kim recentemente definito la guerra informatica una “spada multiuso”.
Ma come è possibile che un Paese del genere, plurisanzionato e isolato da gran parte della comunità internazionale, sia riuscito a sfornare gli hacker migliori del pianeta? La prima ragione riguarda la necessità della Corea del Nord di bypassare le sanzioni e ottenere denaro da reinvestire per lo sviluppo militare (e non solo). La seconda: il governo nordcoreano, come detto, punta da anni sull’informatica, materia fin troppo snobbata in Occidente. Basti pensare che all’International Collegiate Programming Contest del 2019, un team di un’università nordcoreana è arrivato ottavo, battendo i rivali di Cambridge, Harvard, Oxford e Stanford. Pare che per addestrare i suoi cyber-guerrieri, Pyongyang invii all’estero, soprattutto in Cina, i programmatori informatici più talentuosi. Oltre la frontiera, prendono familiarità con Internet, con lo shopping online, il gioco d’azzardo e, più in generale, imparano come il resto del mondo usa i computer. Si trasformano quindi da geni della matematica e dell’informatica in veri e propri hacker.
Abbonati e diventa uno di noi
Se l'articolo che hai appena letto ti è piaciuto, domandati: se non l'avessi letto qui, avrei potuto leggerlo altrove? Se pensi che valga la pena di incoraggiarci e sostenerci, fallo ora.
