Cybercrimine Sanzionato dal Governo – Chi è il Gruppo Lazarus?

La cybercrimine è una minaccia. Le stime suggeriscono che il danno combinato che la cybercrimine potrebbe infliggere ai sistemi in tutto il mondo era alto come 6 trilioni di dollari USA nel 2021. E se il numero già appare spaventoso, si prevede che raggiungerà i 10,5 trilioni di dollari entro il 2025. Nel 2015, era di 3 trilioni di dollari. Una crescita di oltre il 300% in un decennio è qualcosa che dobbiamo tutti preoccuparci. Sì, avete letto bene!

Cosa è la Cybercrimine?

La cybercrimine è un termine ombrello che comprende molti schemi e sforzi per disturbare, danneggiare e causare danni a reti e sistemi. Può essere qualsiasi tipo di attività maliziosa che si rivolge a un computer, a una rete di computer o a un dispositivo in rete. Può essere un attacco di malware, in cui l’attaccante infetta un sistema con un virus.
Una campagna di phishing utilizza e-mail spam, messaggi o altre forme di comunicazione per ingannare il destinatario e compromettere la privacy dei dati. Un attacco DoS distribuito, spesso inflitto su dispositivi IoT, abbassa un sistema o una rete specifica.
I tipi di cybercrimine possono anche includere il furto di dati finanziari, dati di carta o pagamento, estorsione informatica, spionaggio informatico, violazione del copyright, gioco d’azzardo illegale, attacco ransomware e altro.
Secondo i dati presentati dalla società di sicurezza informatica a livello globale Kaspersky, un singolo attacco, che potrebbe essere una violazione dei dati, malware, ransomware o attacco DDoS, può costare a un’azienda, indipendentemente dalle sue dimensioni, in media 200.000 dollari USA. In realtà, i dati della società di assicurazioni Hiscox mostrano che le aziende colpite potrebbero uscire dal mercato entro sei mesi dall’attacco.
Senza dubbio, la cybercrimine è qualcosa che comporta gravi e severe conseguenze. Gli aggressori o gli hacker sono diffusi a livello globale e sono in grado di attaccare qualsiasi sistema o rete da qualsiasi località remota.
Tuttavia, il crimine è qualcosa che non associamo generalmente a enti governativi. Essi applicano le leggi. A malapena pensiamo a loro come autori. E sareste sorpresi se, a questo punto, sollevassimo il caso della cybercrimine sanzionata dal governo. Ma non è insolito utilizzare la cybercrimine per scopi politici e andare oltre i guadagni monetari. Qui, discuteremo un caso tipico di tale reputazione, che afferma la complicità statale nella perpetrazione della cybercrimine.

Il Caso Curioso di Jon Chang Hyok e Kim Il

Il sito del Federal Bureau of Investigation menziona due individui nordcoreani nella sua lista dei più ricercati. Entrambi Jon Chang Hyok e Kim Il sono accusati di cospirazione per commettere frode via cavo e bancaria e frode informatica. Entrambi erano presunti hacker sponsorizzati dallo stato che facevano parte di una presunta cospirazione criminale che ha portato a einige delle intrusioni informatiche più costose della storia. Ma questi non sono autori ordinari. Questi non sono autori che lavorano con un semplice obiettivo di saccheggio di fondi. Il loro scopo va più in profondità e è più torbido di quanto ci si potrebbe aspettare.
Entrambi sono presunti membri di un gruppo di hacker dell’Ufficio di Ricognizione Generale del Governo nordcoreano. La cospirazione di cui entrambi facevano parte comprende gruppi di hacker nordcoreani che molti ricercatori di sicurezza informatica hanno etichettato come Advanced Persistent Threat 38 (APT38) o “Gruppo Lazarus.”

Il Gruppo Lazarus e le sue Presunte Malefatte

L’ultima menzione del “notorio” Gruppo Lazarus è emersa quando, alla fine di gennaio 2022, l’FBI ha confermato che era il gruppo che ha orchestrato l’hack del ponte Harmony del valore di 100 milioni di dollari USA nel giugno 2022.
Il 23 giugno 2022, il team del protocollo Harmony ha identificato un furto sul ponte Horizon del valore di circa 100 milioni di dollari USA. Nella sua dichiarazione del 23 gennaio, l’FBI ha fatto un chiaro appunto per confermare che il Gruppo Lazarus e l’APT38, “attori informatici associati alla RPDC”, erano responsabili del furto di 100 milioni di dollari di valuta virtuale. Gli aggressori hanno sfruttato le lacune di sicurezza esistenti nel ponte Ethereum di Harmony e hanno rubato diversi asset archiviati nel ponte attraverso 11 transazioni.
Prima dell’hack del ponte Harmony Horizon, il nome del famigerato Gruppo Lazarus è anche emerso nei rapporti sull’hack del ponte Ronin del valore di 600 milioni di dollari nel marzo 2022. Per coloro che non conoscono l’hack del ponte Ronin, è stato lo sfruttamento più grande di attività virtuali nel 2022. I fondi rubati ammontavano a 612 milioni di dollari USA. Includevano 173.600 ETH e 25,5 milioni di monete USD.
Axie Infinity, un gioco di token non fungibile (NFT) a guadagno, ha utilizzato Ronin come sidechain di Ethereum. Mentre spiegava la natura dell’attacco, gli sviluppatori di Axie Infinity, Sky Mavis, hanno fatto riferimento al fatto che gli hacker hanno ottenuto l’accesso alle chiavi private per compromettere i nodi dei validatori e approvare transazioni in modo fraudolento per drenare i fondi dal ponte.
Il Dipartimento del Tesoro degli Stati Uniti ha aggiornato la sua lista di Nazioni e Persone Bloccate (SDN) a metà aprile 2022 per suggerire la possibilità che il Gruppo Lazarus abbia orchestrato l’hack. Gli hacker erano così sofisticati e clandestini nel loro atto che è stato scoperto diversi giorni dopo l’hack, nonostante essere uno dei più grandi furti del suo genere nello spazio crypto.
Lo stesso è stato il caso dell’hack del ponte Harmony Horizon, dove il Gruppo Lazarus ha utilizzato RAILGUN, un protocollo di privacy, per incanalare oltre 60 milioni di dollari di Ethereum rubati durante l’hack. Secondo le indagini dell’FBI, una parte di questi fondi è stata congelata in collaborazione con alcuni VASP, mentre il bitcoin rimanente è stato successivamente spostato in altre direzioni.
L’FBI ha mantenuto le sue unità di beni virtuali e cyber dispiegate, insieme all’ufficio dell’avvocato degli Stati Uniti e all’unità Crypto del Dipartimento della Giustizia degli Stati Uniti, per identificare, intercettare e interrompere gli sforzi di questo gruppo nordcoreano. L’agenzia ritiene che il furto e il riciclaggio di valute virtuali del gruppo siano destinati a sostenere i programmi di armi balistiche e di distruzione di massa della Corea del Nord.

Consiglio di Sicurezza Informatica Condiviso

Il 18 aprile 2022, l’Agenzia di Sicurezza Informatica e Infrastruttura (CISA), insieme all’FBI e al Dipartimento del Tesoro degli Stati Uniti, ha rilasciato un consiglio sull’attività di cybercrimine sponsorizzata dallo stato nordcoreano che si rivolge alla tecnologia blockchain e all’industria delle criptovalute.

Le Minacce

Il consiglio nota che la minaccia informatica associata ai furti di criptovalute è stata attiva dal 2020. Il documento riconosce anche, in modo inequivocabile, che questa minaccia di Advanced Persistent Group (APT) è sponsorizzata dallo stato nordcoreano. Le agenzie hanno segnalato il gruppo come il Gruppo Lazarus, APT 38, BlueNoroff e Stardust Chollima.
L’analisi del governo degli Stati Uniti sulla minaccia segnala questi attori informatici maliziosi come entità che si rivolgono a una varietà di organizzazioni nell’industria blockchain e criptovalute. Non risparmiano nessuno. L’elenco dei bersagli include scambi di criptovalute, protocolli DeFi, giochi di criptovalute a guadagno, società di trading di criptovalute, fondi di venture capital e singoli detentori di grandi quantità di criptovalute o NFT di valore.
Il Gruppo Lazarus e gli attori informatici simili sono abili nell’ingannare le vittime attraverso una serie di piattaforme di comunicazione per alla fine indurle a scaricare applicazioni di criptovalute Trojanizzate su sistemi operativi Windows e macOS. Attraverso queste applicazioni, gli hacker e gli aggressori ottengono l’accesso al computer dell’utente finale e distribuiscono malware in tutto l’ambiente di rete.
Il consiglio ha sottolineato che il Gruppo Lazarus era responsabile di bersagliare una serie di società, enti e scambi nell’industria blockchain e criptovalute. Il loro metodo era costituito da campagne di spear-phishing e dall’uso di malware per rubare.

Malware AppleJeus

L’FBI, la CISA e il DoT hanno riconosciuto specificamente l’uso del malware AppleJeus nel bersagliamento del Gruppo Lazarus di organizzazioni per il furto di criptovalute in oltre 30 paesi negli ultimi anni. Il rapporto dell’agenzia ha notato che la Corea del Nord ha utilizzato ‘malware AppleJeus che si spaccia per piattaforme di trading di criptovalute dal 2018’.
L’applicazione maliziosa sembra essere generata da una società di trading di criptovalute legittima. E gli individui, intrappolati dal malware, si convincono che sia un’applicazione di terze parti da un sito web legale e la scaricano.
Il governo nordcoreano ha presumibilmente utilizzato diverse versioni del malware negli ultimi cinque anni dal suo scoperta nel 2018.

Il Metodo di Esecuzione

I cybercriminali iniziano le loro operazioni inviando una grande quantità di campagne di phishing ai dipendenti delle aziende di criptovalute. Sono principalmente bersagliati le persone che lavorano nell’amministrazione dei sistemi o nello sviluppo software/operazioni I.T. (DevOps).
I messaggi che questi hacker inviano sono per lo più avvisi di assunzione che offrono lavori ad alto reddito. Con queste lusinghe, essi istigano questi dipendenti a scaricare applicazioni di criptovalute cariche di malware, indicate dal governo come TraderTraitor. Le campagne TraderTraitor presentano siti web con design moderno e pubblicità.
Mentre elencava Jon Chang Hyok nella lista dei più ricercati dell’FBI, l’agenzia ha etichettato reati simili al suo nome, affermando che era presuntamente coinvolto nello “sviluppo e nella diffusione di applicazioni di criptovalute maliziose che si rivolgono a numerose borse di criptovalute e altre società”.
Per Kim Il, il presunto reato ha coinvolto “rapine informatiche da istituzioni finanziarie” e la truffa ICO Marine Chain.
La truffa ICO Marine Chain è stata avviata da tre operativi dell’intelligence nordcoreana. È stata una manovra maliziosa per raccogliere fondi in modo fraudolento durante il boom dell’ICO del 2018, quando quasi 12 miliardi di dollari sono stati raccolti da progetti.
Marine Chain si è presentata come il “prossimo mercato di investimenti marittimi globale abilitato dalla tecnologia blockchain”. Ha promesso che i proprietari di navi avrebbero potuto tokenizzare la proprietà parziale delle loro navi e venderle a individui e istituzioni. Li hanno definiti Offerte di token di navi, che avrebbero avuto luogo sulla blockchain di Ethereum.
Kim Il e Jon Chang Hyok, insieme a Park Jin Hyok – tutti della Corea del Nord – erano i fondatori dell’ICO Marine. Hanno nascosto il fatto che erano membri dell’agenzia militare nordcoreana, l’Ufficio di Ricognizione Generale (RGB). Hanno utilizzato nomi falsi e hanno incanalato ogni singolo penny raccolto nell’ICO in Corea del Nord, evitando le sanzioni degli Stati Uniti. Il trio è stato accusato di 1,3 miliardi di dollari di tentato furto attraverso molti complotti di estorsione e attacchi informatici.

Cosa Succederà?

Mentre le agenzie di indagine degli Stati Uniti continuano a scoprire e a tracciare hack e tentativi di estorsione regolarmente, sia Kim Il che Jon Chang Hyok continuano a essere nella lista dei più ricercati dell’FBI. Sono stati emessi mandati di arresto. Tuttavia, la CISA era certa nella sua dichiarazione che “questi attori probabilmente continueranno a sfruttare le vulnerabilità della tecnologia delle criptovalute per generare e riciclare fondi per sostenere il regime nordcoreano”.