Le strategie offensive della Corea del Nord si sono evolute da un tipo di proiezione del potere a un tipo che è ora “duplice” e perseguendo obiettivi economici internazionali.
Intervenendo al Black Hat Europe 2020, i ricercatori di Crowdstrike Jason Rivera e Josh Burgess hanno discusso di come la Corea del Nord abbia evoluto la sua strategia da una strategia di dimostrazione, che era più diffusa sotto la guida di Kim Jong-II, a una che ora sta perseguendo obiettivi altri rispetto a Stati Uniti, Corea del Sud e Giappone.
In un primo momento, si era impegnato in attacchi DDoS e distribuendo malware wiper, ma Rivera, direttore del gruppo di consulenza sulle minacce strategiche di Crowdstrike, ha affermato di non essere in grado di causare “danni gravi”. Tuttavia, gli attacchi sono diventati più mirati, come l’esfiltrazione di dati dal Ministero della Difesa della Corea del Sud e l’attacco alla metropolitana di Seattle e l’attacco del 2014 alla Sony Pictures.
Nell’era della protezione del potere, Rivera disse che spesso avrebbero concentrato gli attacchi su obiettivi militari e avrebbero dimostrato le sue capacità nucleari “per respingere i suoi avversari nazionali” così come gli Stati Uniti.
La fase successiva si è concentrata sulla generazione di valuta, a causa delle sanzioni economiche imposte alla Corea del Nord a causa del suo programma nucleare “per aggirare alcune delle difficoltà finanziarie causate da queste sanzioni“. Rivera ha affermato che Crowdstrike ha osservato che la Corea del Nord è impegnata in diversi tipi di operazioni di generazione di valuta, inclusi attacchi fraudolenti, ransomware, attacchi ai sistemi bancari SWIFT e schemi di prelievo bancomat.
Tuttavia, la sua attività attuale si basa su uno sforzo duplice, in cui persegue obiettivi economici per la generazione di valuta, ma attacca anche le infrastrutture critiche, gli obiettivi internazionali e persino le Nazioni Unite. “Inoltre, con la generazione di valuta, vediamo il targeting di obiettivi non tradizionali, come gli scambi di criptovalute, in particolare quelli situati nell’Asia orientale“, ha detto Rivera.
“Vediamo anche molta attenzione al target di crescita economica, prendendo una pagina dal playbook cinese. La Cina svolge molto spionaggio a sostegno della propria economia, e ora stiamo vedendo la Corea del Nord fare lo stesso e sembra essere concentrata su settori delle infrastrutture critiche in cui hanno bisogno di molto aiuto“. Ciò include la produzione di energia e l’agricoltura, per potenziare la sua economia.
La Corea del Nord prende di mira anche organizzazioni internazionali come l’ONU e la base industriale di Israele. “Questo dimostra un alto grado da parte del regime nordcoreano e a questo punto credono di esserci riusciti e sono arrivati al punto in cui sono ora, portandolo al livello successivo“, ha detto.
Burgess, responsabile tecnico per l’intelligence sulle minacce a Crowdstrike, ha affermato che l’attenzione sulla produzione di energia è su tutte le forme, inclusi petrolio, gas e carbone, e questo ha visto colpire obiettivi negli Stati Uniti. “Era progettato più per rubare che altro, specialmente in una recente campagna petrolifera e del gas, poiché era progettato per passare attraverso e rubare informazioni e lanciare il tergicristallo alla fine e far sembrare che potessero controllare il potere“, disse. “Tutto è stato progettato per essere più focalizzato sul business e a disabilitare il business.”
Guardando al futuro, Rivera ha previsto un maggiore utilizzo di ransomware avanzati, inclusa l’offerta di ransomware-as-a-service e l’estorsione dei dati in cui i dati vengono rubati e crittografati e la vittima viene ricattata per pagare o i dati vengono esposti.
Rivera ha anche affermato che la Corea del Nord dovrebbe seguire l’esempio della Cina e condurre più spionaggio economico, e seguire un concetto di “cyber-rischio” in cui due parti fanno minacce e si riduce a “chi chiama prima il pollo”. Ha detto che Crowdstrike ha visto la Corea del Nord “portare i suoi avversari al limite e utilizzare minacce informatiche o nucleari per determinare gli effetti“. Poiché non sopravviverebbe a un incontro nucleare e questo porterebbe alla condanna internazionale e a un potenziale cambio di regime, Rivera ha affermato di aspettarsi che la Corea del Nord si sposti dal lato cyber “poiché questo è più sicuro per loro”.
Rivera ha dichiarato: “La cyber-route consente ancora loro di proiettare il potere, consente comunque loro di colpire i loro avversari, ma lo fa in modo molto più sicuro e ha un minor rischio di ritorsioni cinetiche ma anche un minor rischio di dover sostituire un altro della dinastia Kim. “