Gli hacker nordcoreani sono stati al centro di un recente attacco cibernetico che ha visto la sottrazione di criptovaluta per un valore di 308 milioni di dollari dalla società giapponese DMM.com. Questo evento non è isolato, poiché gli hacker nordcoreani hanno una lunga storia di attività illecite nel campo della sicurezza informatica, con obiettivi che spaziano dalla raccolta di fondi per il programma nucleare del Paese alla destabilizzazione delle economie mondiali.
Storia degli Attacchi
Negli ultimi sette anni, gli hacker nordcoreani hanno perpetrato furti di criptovalute per un valore complessivo di tre miliardi di dollari, come rivelato nel recente rapporto sulla sicurezza informatica di Microsoft per il 2024[2]. Questi fondi, secondo l’analisi di Microsoft, avrebbero potuto essere destinati a finanziare il programma nucleare della Corea del Nord, contribuendo a coprire oltre la metà dei costi necessari per lo sviluppo di armi nucleari.
Il Caso DMM.com
Il caso specifico di DMM.com è particolarmente interessante. Gli hacker nordcoreani, affiliati al gruppo di attacco noto come TraderTraitor, hanno utilizzato tecniche di ingegneria sociale per infiltrarsi nella società. Il gruppo ha contattato un dipendente di DMM.com, fingendosi un headhunter, e hanno inviato un URL a un script Python malizioso ospitato su GitHub come parte di un presunto test di pre-impiego[3]. L’impiegato, che aveva accesso al sistema di gestione delle borse, è stato successivamente compromesso dopo aver copiato il codice Python sul proprio profilo GitHub personale.
Fasi dell’Attacco
La catena di attacco documentata dall’FBI è la seguente:
- Ingresso: Gli attaccanti hanno contattato un dipendente di Ginco, una società giapponese che gestisce software per borse, fingendosi un headhunter. Hanno inviato un URL a un script Python malizioso ospitato su GitHub come parte di un presunto test di pre-impiego.
- Compromissione: L’impiegato, che aveva accesso al sistema di gestione delle borse, è stato successivamente compromesso dopo aver copiato il codice Python sul proprio profilo GitHub personale.
- Accesso: Gli attaccanti hanno sfruttato le informazioni delle session cookie per impersonare il dipendente compromesso e guadagnare accesso al sistema di comunicazioni non crittografato di Ginco.
- Manipolazione delle Transazioni: In fine maggio 2024, gli attaccanti hanno manipolato una richiesta di transazione legittima di un dipendente di DMM.com, risultando nella perdita di 4.502,9 BTC, valutati 308 milioni di dollari all’epoca dell’attacco[3].
Tracciamento dei Fondi
I fondi rubati sono stati tracciati fino a quando non sono stati trasferiti in conti gestiti dal gruppo TraderTraitor. Successivamente, i fondi sono stati mixati utilizzando un servizio di mescolamento Bitcoin CoinJoin e trasferiti attraverso diversi servizi di bridging prima di essere depositati su HuiOne Guarantee, un marketplace online legato al conglomerato cambogiano HuiOne Group, già esposto come un importante giocatore nella facilitazione di crimini cibernetici[3].
Risposte e Misure di Sicurezza
La società DMM.com ha chiuso le sue operazioni dopo l’attacco, e il Giappone ha ordinato all’agenzia finanziaria di migliorare le operazioni della società, affermando che la struttura di gestione dei rischi era inadeguata[1]. Le autorità giapponesi e statunitensi hanno continuato a esporre e combattere l’uso delle attività illecite da parte della Corea del Nord, comprese le attività di cybercrime e il furto di criptovaluta, per generare entrate per il regime[1].
Suggerimenti e Consigli
Per evitare di essere vittime di attacchi simili, è essenziale adottare misure di sicurezza robuste:
- Formazione e Consapevolezza: I dipendenti devono essere formati per riconoscere e evitare le tecniche di ingegneria sociale.
- Controllo delle Accessibilità: Limitare l’accesso ai sistemi critici solo ai dipendenti necessari.
- Monitoraggio Continuo: Monitorare costantemente le attività del sistema per rilevare eventuali segnali di attacco.
- Utilizzo di Tecnologie di Sicurezza: Utilizzare software di sicurezza avanzato, come antivirus e firewall, e garantire che siano aggiornati regolarmente.
- Backup dei Dati: Eseguire regolarmente backup dei dati importanti e archiviarli in luoghi sicuri.
L’attacco cibernetico alla società DMM.com è un esempio chiaro della minaccia rappresentata dagli hacker nordcoreani. È cruciale che le società si preparino adeguatamente per affrontare queste minacce, adottando misure di sicurezza robuste e mantenendo una consapevolezza costante delle tecniche di attacco più comuni. Solo attraverso una collaborazione internazionale e una risposta coordinata, potremo combattere efficacemente contro il crimine cibernetico e proteggere le nostre risorse digitali.
