La Corea del Nord ha assunto un importante ruolo nel cyberspazio, investendo e sviluppando le proprie competenze informatiche. Le strategie di attacco si sono infatti gradualmente diversificate in base all’obiettivo e alle tempistiche e sembrano evolversi in tecniche sempre più sofisticate.
I cyber attacchi dal 2009 al 2017
Ad oggi, il conflitto tra la Corea del Nord e la Corea del Sud è passato dal manifestarsi sotto forma di attacchi armati ad attacchi digitali. La Corea del Nord dispone di intranet (reti private completamente isolate e a cui possono accedere solo gli utenti abilitati) nazionali diversificate per i cittadini, per i vari ministeri e per i militari. Infatti in Corea del Nord l’accesso ad Internet è limitato e i contenuti disponibili online sono fortemente censurati, difatti i contenuti di informazione politica vengono creati dalla Korean Central News Agency (KCNA), la quale sembra l’unica fonte autorizzata, inoltre solo un numero ristretto di utenti ha accesso alla rete globale. Per connettersi alla rete internet globale, infatti, i cavi a fibra ottica passano dalla Cina e usano indirizzi IP cinesi, in questo modo le connessioni internet sono instradate attraverso sistemi satellitari per navigare più velocemente. L’uso di Internet in Corea del Nord è strettamente controllato dal governo e, inoltre, le ore di funzionamento sono limitate a causa della mancanza di energia elettrica.
Si stima, tuttavia, che il paese disponga di oltre 6.000 hacker che lanciano quotidianamente operazioni di disinformazione, crimine informatico e spionaggio. Nel 2009 è stato sferrato il primo attacco DDoS, cioè un attacco distribuito che interrompe il servizio di rete, in cui si ritiene coinvolto il regime di Pyongyang, ma non c’è stata nessuna rivendicazione in tal senso. Tale attacco ha colpito non solo i siti dell’ufficio presidenziale sudcoreano, del Ministero della Difesa e dell’Assemblea Nazionale, ma sono stati presi di mira anche gli Stati Uniti. Nel 2011 è stato eseguito l’attacco “Dieci giorni di pioggia” che aveva come obiettivi l’ufficio presidenziale della Corea del Sud, il Ministero degli Esteri, il National Intelligence Service e alcune importanti istituzioni finanziarie sudcoreane. Gli aggressori hanno iniettato un malware, cioè un software malevolo, in due siti web di file-sharing peer-to-peer (sistema per la condivisione di media) infettando fino a 40 siti web e 11.000 personal computer. Nel 2013, tredici giorni dopo che la risoluzione 2094 del Consiglio di Sicurezza delle Nazioni Unite ha imposto nuove sanzioni alla Corea del Nord in seguito al suo terzo test nucleare, si sospetta che il regime abbia effettuato il famigerato “attacco di Seul oscura“. Il 20 marzo 2013, le emittenti pubbliche KBS, MBC e YTN hanno dichiarato che i loro computer fossero stati bloccati e contemporaneamente i computer della Shinhan Bank e della Nonghyup Bank sono stati disabilitati. L’attacco informatico ha colpito 48.000 macchine ed è stato considerato uno dei più gravi subiti dalla Corea del Sud. Difatti questo attacco è riuscito a colpire il target prefissato, penetrare nei sistemi critici, bloccare i computer e lanciare un attacco di DDoS in breve tempo scatenando una reazione pubblica così forte che i media hanno scelto di adoperare termini come Advanced Persistent Threat (APT) e terrorismo informatico, contribuendo così alla diffusione internazionale di tali concetti.
Nel 2013, in occasione del 63° anniversario dello scoppio della guerra di Corea, la Corea del Sud ha accusato il governo nordcoreano di aver preso di mira il sito web dell’ufficio presidenziale e diversi siti di media ufficiali. L’attacco ha raccolto e condiviso online file contenenti dati riservati di personale militare statunitense e sudcoreano. Dopo questa mossa i cyberattacchi nordcoreani sono diventati tecnicamente più sofisticati e hanno cominciato a concentrarsi sullo spionaggio delle istituzioni finanziarie, attività politiche e infrastrutture critiche della Corea del Sud. Nel 2014 è stato violato Korea Hydro & Nuclear Power, l’operatore di diversi reattori nucleari, e sono state rese pubbliche le informazioni relative ai 10.000 dipendenti. Nel 2017, tuttavia, l’attenzione dei presunti cyberattacchi del regime di Pyongyang si è spostata di nuovo, questa volta dallo spionaggio al furto finanziario. Sono stati diversi gli attacchi portati avanti tra il 2017 e il 2018 contro le istituzioni di scambio di criptovalute della Corea del Sud causando perdite per centinaia di milioni di dollari
La Corea del Nord ha, dunque, dimostrato nel corso degli anni una grande competenza nell’individuare le vulnerabilità della sua controparte e sfruttarle a proprio vantaggio. Contrariamente, sembra che le strategie di difesa della Corea del Sud, sebbene si tratti di uno dei paesi leader nel settore ICT, si siano dimostrate estremamente fragili e inadatte in quanto i sopra menzionati attacchi sono sempre riusciti a penetrare nei sistemi e causare disagi alle reti locali. Difatti il Ministero della Difesa Nazionale non avrebbe subito gravi violazioni della sicurezza se avesse seguito correttamente le linee guida esistenti. Insieme allo sviluppo di buone politiche, gli sforzi devono anche andare nella sensibilizzazione della sicurezza informatica e nel cambiamento del comportamento degli utenti dei dipendenti governativi, per garantire che le politiche si applichino e siano attuate correttamente.
