Il cosiddetto gruppo Lazarus ha utilizzato elaborati schemi di phishing e strumenti d’avanguardia per il riciclaggio di denaro allo scopo di rubare denaro in favore del regime di Kim Jong-un.
di Mike Orcutt
Gli attacchi informatici intrapresi contro i siti web per l’acquisto e la vendita di criptovaluta sono ormai comuni, ma il furto dello scorso marzo di poco più di 7 milioni di dollari a DragonEx, un sito di scambio con sede a Singapore, si distingue per almeno tre motivi.
In primo luogo si palesa uno schema di phishing estremamente elaborato utilizzato dagli aggressori, che ha coinvolto non solo falsi siti Web, ma anche falsi bot di cripto-trading. Poi è presente un modo elegante per riciclare i cripto-contanti trafugati. Infine, ma non meno importante, sembra che il destinatario ultimo fosse Kim Jong-un.
I dettagli della rapina sono stati recentemente pubblicati da Chainalysis, un’azienda che analizza i dati blockchain, mostrano quanto siano diventati abili i rapinatori delle banche digitali di oggi. E se questo e altri rapporti sono corretti nel considerare gli hacker nordcoreani come gli autori, il furto sembra far parte di una più ampia strategia di sopravvivenza da parte del regime di Kim, che è stato tagliato fuori dal sistema finanziario globale da sanzioni economiche internazionali volte a ridurre il suo programma di armamento nucleare.
DragonEx non è stato il primo sito di scambio di criptovalute ad essere vittima di questa particolare banda di hacker, che alcuni analisti della sicurezza chiamano Lazarus. Il gruppo è attivo nel settore già dal 2017, nell’ambito di una campagna più ampia che aveva preso di mira gli istituti finanziari. Ad agosto,un gruppo di esperti indipendenti ha riferito alle Nazioni Unite che la Corea del Nord si è impossessata di circa 2 miliardi di dollari per il suo programma missilistico usando attacchi informatici “diffusi e sempre più sofisticati” per rubare dalle banche e dai siti di scambi di criptovaluta.
L’uso della criptovaluta per eludere le sanzioni è alla base di un recente avvertimento alla Corea del Nord da parte dello stesso gruppo di esperti delle Nazioni Unite di non partecipare alla prossima conferenza blockchain a Pyongyang.
Si ritiene che il gruppo Lazarus sia stato alla base di numerosi hacking di grande clamore, tra cui la violazione del sistema di Sony Pictures nel 2014 e quello del ransomware WannaCRy nel 2017, che ha colpito centinaia di migliaia di computer in 150 paesi.
Ma è stato il furto di 81 milioni di dollari alla banca centrale del Bangladesh nel 2016 a far capire che il bersaglio erano le criptovalute. Secondo l’FBI, gli aggressori hanno trascorso più di un anno a perlustrare il terreno prima di ottenere l’accesso al sistema informatico della banca attraverso un’elaborata campagna di phishing.
Afflitto da un’endemica carenza in termini di sicurezza, l’ecosistema di criptovaluta è stato un “obiettivo facile” per gli hacker nordcoreani, che avevano già esperienza con le istituzioni finanziarie, afferma Priscilla Moriuchi, responsabile delle strategie di sicurezza a livello di nazioni, presso Recorded Future, una azienda specializzata nella raccolta, elaborazione, analisi e diffusione dell’intelligence sulle minacce informatiche. “Sono molto più abili di quanto non si pensi, soprattutto per quanto riguarda il crimine finanziario”, conclude Moriuchi.
Secondo Chainalysis, per attaccare DragonEx, Lazarus ha creato un’azienda falsa che pubblicizzava un bot di trading di criptovaluta automatizzato chiamato Worldbit-bot. L’azienda inventata aveva un sito Web e i suoi dipendenti virtuali avevano persino presenze sui social media. Quando hanno presentato una prova gratuita del software di trading ai dipendenti di DragonEx, qualcuno è abboccato, scaricando malware su un computer che conteneva le chiavi private per i portafogli dello scambio.
In una ricerca pubblicata all’inizio di questo mese, Kaspersky descrive un altro dei recenti schemi del Gruppo Lazarus, che mirava a sua volta alle attività legate alla criptovaluta. In questo caso, gli aggressori hanno creato aziende false e quindi hanno indotto gli utenti a scaricare malware utilizzando la popolare app di messaggistica Telegram.
Il problema vero, però, non è trafugare il denaro, ma incassarlo. Nel corso dell’ultimo anno, secondo Chainalysis, il gruppo Lazarus ha completamente rinnovato il suo modo di operare. Precedentemente, gli hacker erano apparsi “rozzi” nelle loro tecniche di riciclaggio di denaro, lasciando che i fondi rubati restassero per 12-18 mesi prima di incassare, usando uno scambio che non tenesse traccia dell’identità dei clienti (Gli scambi di criptovaluta nella maggior parte delle giurisdizioni sono tenuti a monitorare i loro clienti, proprio per questo motivo).
Il modo in cui il gruppo ha spostato i suoi soldi dopo l’hacking di DragonEx dello scorso marzo è sembrato molto più sofisticato. Il gruppo ha utilizzato molti più passaggi intermedi, compresi gli scambi e una varietà di portafogli digitali. Le monete sono finite in un tipo speciale di portafoglio che utilizza una tecnologia di privacy compatibile con Bitcoin chiamata CoinJoin, che combina le transazioni da più utenti in un modo che rende difficile dire chi ha inviato il pagamento a quale destinatario. E, sempre secondo Chainalysis, gli hacker hanno incassato più rapidamente: quasi tutti i fondi sono stati trasferiti in “servizi di liquidazione” entro 60 giorni.
I metodi più avanzati degli hacker nordcoreani potrebbero semplicemente significare che gli strumenti di riciclaggio di denaro ora disponibili nel mondo delle criptovalute sono tecnologicamente all’avanguardia. Il responsabile della ricerca di Chainalysis, Kim Grauer, afferma che “nel 2019 il suo team ha notato grandi passi in avanti nella capacità di sfruttare le tecnologie del riciclaggio da parte delle organizzazioni criminali”.
In altre parole, anche i criminali che non sono esperti di blockchain hanno accesso a metodi sofisticati per coprire le loro tracce dopo aver rubato la criptovaluta. Ad ogni modo, finché i sistemi di scambio avranno falle nella sicurezza, gruppi come Lazzaro continueranno a derubarli.
(rp)
