La partnership tra Russia e Corea del Nord, sempre più solida dopo il sostegno dato da Pyongyang alle manovre di Mosca in Ucraina, rischia di andare in testacoda sullo spionaggio? Questo è quello che avrebbero scoperto i tecnici di SentinelOne, società di sicurezza informatica e attore primario del campo cyber con sede a Mountain View in California, analizzando la presenza di presunte backdoor inserite da gruppi di hacker nordcoreani nei server di Npo Mashinostroyeniya, un’importante azienda produttrice di missili che rifornisce le armate di Vladimir Putin ed è comunemente nota come Npo Mash.
I SentinelLabs, la struttura interna di SentinelOne dedicata alla ricognizione sulle minacce cyber nel mondo, hanno pubblicato sul loro sito un’ampia rassegna legata alla presunta infiltrazione nordcoreana: “A metà maggio 2022, circa una settimana prima che la Russia ponesse il veto a una risoluzione delle Nazioni Unite per imporre nuove sanzioni alla Corea del Nord per i lanci di missili balistici intercontinentali che potrebbero trasportare armi nucleari, l’organizzazione vittima ha segnalato internamente l’intrusione”, scrive SentinelOne. L’intrusione avveniva tramite la creazione di provider mail interni che estraevano file e dati e li portavano all’esterno all’insaputa dei tecnici di Npo Mash. Una di queste mail truffa, caricata da un tecnico di Npo Mash su un portale di assistenza utilizzato da utenti di tutto il mondo, sarebbe stata individuata dai tecnici di SentinelOne per avviare l’indagine.
“Durante la nostra indagine, abbiamo identificato il file sospetto in questione come una versione della backdoor del sistema operativo Windows OpenCarrot, precedentemente identificata da IBM XForce come parte delle attività del gruppo Lazarus”, aggiungono i tecnici Usa, la cui analisi è stata fornita a Reuters che l’ha fatta validare da tecnici terzi che l’hanno ritenuta affidabile. Lazarus, lo ricordiamo, è una delle principali organizzazioni di hacker attive sul proscenio internazionale facenti direttamente riferimento al governo del presidente Kim Jong-un di Pyongyang.
Da anni la Corea del Nord utilizza armate hacker corsare per operare infiltrazioni in istituzioni bancarie per trasferire denaro e valuta pregiata sui suoi conti, nelle istituzioni militari dei Paesi rivali per carpirne i segreti e negli apparati industriali critici per acquisire tecnologie critiche.
Lazarus è stata protagonista di operazioni come il furto dati alla Sony del 2014, il furto di un miliardo di dollari alla banca centrale del Bangladesh nel 2016 tramite attacco hacker e il maxi attacco del virus WannaCry del 2017. Raramente però l’attacco è arrivato a colpire Paesi apparentemente vicini alla Corea del Nord come la Russia, che dall’invasione dell’Ucraina ha stretto i rapporti col vicino in Estremo Oriente.
Poche settimane fa Sergej Shoigu, ministro della Difesa russo, ha compiuto la prima visita a Pyongyang dalla fine dell’Unione Sovietica a oggi di un titolare del suo dicastero incoronando le forze armate nordcoreane come “le più forti al mondo”. Kim ha poi mostrato i muscoli mettendo in rassegna, negli ultimi giorni, i ritrovati più recenti della sua tecnologia missilistica: “Nel corso degli ultimi cinque anni, la tecnologia missilistica della Corea del Nord è migliorata al punto da trasformarsi in una minaccia da prendere seriamente in considerazione, con missili più difficili da intercettare e capaci di eludere i sistemi di difesa controllati da Corea del Sud, Giappone e Stati Uniti”, ha scritto Federico Giuliani su queste colonne. Ebbene, l’inchiesta SentinelOne lascia l’ombra del sospetto che dietro questi successi ci possa essere anche il furto tecnologico alla Russia, Paese tra i più attivi nella ricerca balistica negli ultimi anni.
Per Reuters in particolar modo molto attenzionate sarebbero le tecnologie di rifornimento rapido dei missili che permettono ai vettori di non essere bersaglio per un tempo troppo lungo durante il caricamento del carburante. La Corea del Nord a tal proposito ha messo in linea a luglio il suo nuovo Hwasong-18 a propellente solido: può centrare con la conquista di questa tecnologia da parte di Pyongyang l’infiltrazione dentro Npo Marsh? Non è da escludere. Pyongyang resta in ambiti come il cyber e lo spionaggio un vero e proprio cane sciolto. E non guarda in faccia amici o alleati per raggiungere i suoi obiettivi: consolidare l’assicurazione sulla vita data dal combinato disposto tra armi nucleari e dotazione missilistica. Garanzia di sopravvivenza per il regime. Al cui consolidamento gli hacker possono dare, con le loro mosse asimmetriche, un contributo fondamentale.
