Le armi nucleari della Corea del Nord non vengono finanziate dal carbone o dalle tasse. Sono alimentati da criptovalute rubate. Il 18 luglio 2024, la principale unità di hacking del governo nordcoreano, Lazarus Group, ha fatto irruzione in WazirX, il più grande scambio di criptovalute dell'India.
In poco più di un’ora scomparvero con più di 200 milioni di dollari, muovendosi più velocemente di quanto qualsiasi risposta umana potesse tenere il passo. L'hanno gestita come un'operazione militare. La rapina a WazirX è una delle tante operazioni legate direttamente a Lazarus.
Con oltre 6 miliardi di dollari rubati negli ultimi dieci anni, il gruppo è diventato il ladro di criptovalute più pericoloso al mondo e, secondo un rapporto del Wall Street Journal, il loro lavoro aiuta a mantenere in funzione il regime di Kim Jong Un e finanzia un programma nucleare che ora sta andando avanti nonostante le pesanti sanzioni internazionali.
Lazarus è composto dalle persone più brillanti della Corea del Nord
Benedict Hamilton, amministratore delegato di Kroll, l'azienda che aiuta WazirX a rintracciare il furto, ha affermato che la velocità e l'automazione del team suggeriscono che probabilmente i fondi sono già stati convertiti in contanti.
Con quasi la metà delle sue attività spazzate via, l’exchange ha dovuto chiudere. Un portavoce di WazirX avrebbe affermato che stanno cercando di recuperare i fondi degli utenti e di rilanciare il prima possibile.
Le migliori menti di Pyongyang sono riposte all'interno di Lazarus e non hanno fretta. Trascorrono mesi, o anni, esplorando obiettivi, creando profili falsi e cercando solo un'apertura.
Per entrare nei sistemi aziendali, esaminano le pagine Instagram, LinkedIn e Facebook dei dipendenti, quindi creano truffe personalizzate per indurli a fare clic su collegamenti infetti.
Alcuni membri di Lazarus fanno addirittura domanda per lavori a distanza in aziende tecnologiche statunitensi con identità false, superando colloqui e lavorando all’interno di sistemi per ottenere l’accesso. Queste operazioni sono sostenute dallo Stato e si svolgono come campagne militari.
Il furto di criptovalute è l'unica attività attiva della Corea del Nord
A febbraio, ovviamente, Lazarus ha messo a segno il furto più grande mai compiuto finora: 1,5 miliardi di dollari ai danni di Bybit, uno dei più grandi scambi di criptovalute al mondo. Solo nel 2024, la Corea del Nord è stata responsabile di oltre 6 dollari su 10 rubati nell’intero settore delle criptovalute, secondo il monitoraggio di Chainalysis.
Il Paese ha costruito un intero esercito informatico per questo. Secondo il Journal, ci sono più di 8.000 hacker a tempo pieno, organizzati in gruppi di tipo militare e supportati da dozzine di dipartimenti più piccoli.
Secondo quanto riferito, i bambini che si dimostrano promettenti in matematica o scienze vengono reclutati presto e formati. Non hanno lavori secondari. Lavorano sull'hacking a tempo pieno.
La maggior parte di loro vive meglio degli altri cittadini. Ma sono anche costantemente sotto pressione. Elma Duval, coautrice di un rapporto del gruppo di difesa PScore con sede a Seoul, ha intervistato ex dipendenti IT che hanno affermato che gli hacker vengono puniti fisicamente se falliscono.
Kim Jong Il, il defunto dittatore, una volta disse che le guerre future sarebbero state combattute con i computer e, sotto il regime di suo figlio, quella visione si è trasformata in una strategia nazionale.
Con le tradizionali fonti di denaro come gli accordi di armi, il contrabbando di carbone e la manodopera straniera schiacciata dalle sanzioni internazionali, la Corea del Nord ha dovuto trovare un nuovo flusso di reddito. La loro agenzia di spionaggio stima che il paese abbia bisogno di circa 6 miliardi di dollari ogni anno, comprese centinaia di milioni per le sue armi nucleari.
Il furto di criptovalute è veloce, economico e difficile da rintracciare. Pyongyang non si è mai presa il merito pubblico di nessuno di questi attacchi. Ma i funzionari statunitensi hanno affermato che Lazarus continua a lasciare dietro di sé malware identificabili, insieme a portafogli riutilizzati da precedenti attacchi hacker.
Anche se cercano di sparire, le impronte digitali sono sempre lì. Si tratta dello stesso gruppo che le agenzie statunitensi hanno accusato dell’attacco hacker a Sony nel 2014, del furto alla banca centrale del Bangladesh nel 2016 e dell’attacco ransomware WannaCry nel 2017.
Lazarus ora si rivolge agli ETF crittografici e alle persone in cerca di lavoro
A settembre l'FBI aveva lanciato l'allarme secondo cui Lazarus stava indagando su aziende legate a fondi negoziati in borsa di criptovaluta. Questa parte del mercato ha registrato afflussi di 37 miliardi di dollari solo lo scorso anno, con persone che hanno acquistato fondi da BlackRock, Fidelity e altri. Gli hacker utilizzavano e-mail infestate da malware adattate a ciascuna vittima.
A dicembre, un tribunale statunitense ha incriminato 14 nordcoreani per aver rubato identità americane e ottenuto posti di lavoro presso aziende tecnologiche e organizzazioni no-profit statunitensi. Questi membri di Lazarus si autodefinivano “guerrieri IT” e riuscivano a guadagnare 88 milioni di dollari in stipendi, tutti rispediti direttamente in Corea del Nord. I lavori davano loro accesso diretto ai sistemi e ai dati aziendali.
Diverse società di criptovalute hanno confermato di essere state colpite da falsi candidati. Ben Turner, capo dell'ingegneria presso Cloudburst Technologies, una società di cripto intelligence, ha dichiarato: "La sensazione che abbiamo è che gli hacker nordcoreani siano sempre più intorno a noi". Il suo team ha affermato di aver notato un notevole aumento delle applicazioni sospette.
Cryptopolitan Academy: vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con la DeFi nella nostra prossima webclass. Salva il tuo posto