Dalla Corea del Nord, The Lazarus Group. Cyber guerrieri o cyber criminali?

(di Ciro Metaggiata)
15/02/18

Riuscire a orientarsi correttamente in quell’enorme “zona grigia” che sta diventando il cyber-spazio è un’impresa assai complessa. Riuscire a stabilire chi realmente è l’esecutore e chi il mandante di un attacco cibernetico, soprattutto nell’ambito di indagini giudiziarie, lo è ancor di più. Tuttavia, nel quadro del sempre più vasto e variegato mondo degli hacker, è possibile individuare alcuni gruppi criminali in grado di condurre campagne cyber che hanno una risonanza a livello globale.

Dedichiamo, quindi, una serie di articoli ai gruppi di cyber criminali considerati più rilevanti a livello planetario, ripercorrendone brevemente le gesta. Prima di cominciare, però, occorre fare alcune doverose premesse.

Prima: come detto in precedenza, si tratta di hacker criminali, ben diversi dagli hacker cosiddetti “etici” che, invece, in molti casi costituiscono una risorsa preziosa ma, troppo spesso, non abbastanza valorizzata. Gli etical hacker infatti, non traggono alcun profitto dalle proprie azioni (salvo la gratificazione personale) bensì, al contrario, aiutano le entità oggetto delle loro attenzioni a migliorare la sicurezza dei sistemi informatici utilizzati, scoprendone e segnalando le eventuali vulnerabilità, in anticipo sui reali malintenzionati.

Seconda: i nomi attribuiti ai gruppi criminali generalmente non sono quelli reali, bensì sono assegnati dai ricercatori o dagli investigatori che li riescono ad individuare. Perciò, nella considerazione che capita spesso che a un gruppo sia attribuito più di un nome, con la conseguenza di creare confusione, negli articoli saranno utilizzati gli alias sui quali converge la maggior parte delle ricerche effettuate su di loro.

Terza: sia la provenienza geografica di tali gruppi sia la loro composizione (criminali, operatori dell'intelligence, militari, attivisti politici, ecc.), in genere, sono stabiliti sulla base di indagini complesse che non riescono a eliminare del tutto le incertezze. In particolare, i ricercatori analizzano e correlano le tracce che lasciano gli hacker durante e dopo gli attacchi quali, ad esempio, le password utilizzate, i frammenti di codice con cui sono stati scritti i malware, le chiavi di cifratura, le tecniche di mascheramento impiegate per sviare gli inquirenti, le strutture di comando e controllo messe in atto e altri elementi peculiari riconoscibili nelle tattiche e tecniche utilizzate da ogni singolo gruppo.

Sulla base di tali evidenze, quindi, le società di cybersecurity, i centri di ricerca e anche l'intelligence, individuano i gruppi di hacker e assegnano loro i rispettivi nomi che, come detto, non sono sempre condivisi. In definitiva, di tali gruppi non si riesce ancora a scoprire molto e l’impenetrabile alone di segretezza che li circonda consente loro di compiere i propri atti criminali, per il momento, impunemente.

Fatte queste premesse, passiamo al gruppo recentemente tirato in ballo nientemeno che dalla Casa Bianca: The Lazarus Group.

Nello specifico, nelle scorse settimane il governo degli Stati Uniti ha indicato la Corea del Nord quale mandante del devastante cyber attacco di portata globale, noto come WannaCryptor (v.articolo). Secondo gli inquirenti americani, inoltre, l’esecutore materiale sarebbe stato un gruppo di hacker che in passato si è già distinto in altre operazioni cyber, collegate con il regime nord coreano: The Lazarus Group, appunto. Tuttavia, a parte la presunta nazionalità, sulla genesi e la composizione del gruppo non si sa ancora molto, tanto che non è chiaro se si tratti di cyber criminali assoldati dal regime nord coreano o se, piuttosto, sia una cellula operativa della fantomatica “Unità 180” del Reconnaissance General Bureau. In ogni caso Lazarus possiede una peculiarità: ha capacità offensive in crescita esponenziale e obiettivi molto diversificati a livello mondiale. Nello specifico, i ricercatori hanno notato che, se da una parte finora Lazarus non ha mai sviluppato malware particolarmente sofisticati, dall'altra ha una spiccata capacità di produrne di sempre nuovi con apparente facilità. In buona sostanza il gruppo è in grado di apprendere o ideare metodi di attacco con una rapidità difficilmente riscontrabile in altre cellule cyber criminali. Inoltre, è noto che Lazarus opera a livello globale e che è capace di condurre campagne che hanno per obiettivi attività molto diverse: forze armate, istituti finanziari (anche quelli che trattano cripto valute), aziende del settore energetico e altri tipi di società private come la Sony che, come vedremo in seguito, suo malgrado è stata coinvolta in una disputa tra gli USA e la Corea del Nord.

Il curriculum di Lazarus è quindi particolarmente corposo, a testimonianza della sua dinamicità e spregiudicatezza. In particolare, già a partire dal 2007, il gruppo si sarebbe fatto riconoscere per aver condotto talune campagne di spionaggio e attività di sabotaggio rivolte verso obiettivi plurimi.

Successivamente, nel 2013 si sarebbe distinto per aver perpetrato attacchi cyber ai danni di alcune banche e società di comunicazioni ubicate nella Corea del Sud.

Tuttavia, è il 2014 l'anno in cui Lazarus è salito alla ribalta delle cronache, quando gli è stato attribuito dal Federal Bureau of Investigation, il clamoroso attacco ai server della società Sony Picture Entertainment. Più precisamente, il 24 novembre la rete di tale società è stata messa in ginocchio da un cyber attacco e un’enorme mole di dati personali dei dipendenti è stata esfiltrata verso una destinazione ignota. Tutto questo è successo in occasione del lancio del film satirico americano The Interview, distribuito dalla Sony e giudicato essere un vero e proprio oltraggio al regime nord coreano. In seguito, nonostante la ritorsione USA non si sia fatta attendere sia in termini di sanzioni economiche sia di rappresaglia cibernetica (dagli esiti incerti), Lazarus ha ripreso rapidamente le proprie operazioni cyber.

L’anno successivo, infatti, è stato caratterizzato da diverse campagne cyber attribuite al gruppo in questione, rivolte verso obiettivi sud coreani, statunitensi e, in maniera più limitata, ubicati in altri paesi, condotte grazie a numerosi malware, dalle caratteristiche e finalità diverse (“distruzione” dei dati, piuttosto che spionaggio) quali, solo per citarne alcuni, Hangman, Destrover, DeltaCharlie o WildPositron.

Nel febbraio 2016, invece, a Lazarus è stato attribuito il tentativo, parzialmente riuscito, di cyber rapina con il bottino più grande mai registrato nella storia: il cyber attacco alla Central Bank of Bangladesh. Più precisamente, durante due giorni di chiusura della Banca Centrale il gruppo è riuscito, aggirandone i sistemi di sicurezza, a ordinare il trasferimento di quasi 1 miliardo di dollari americani verso la Federal Reserve americana e da lì ad alcuni conti correnti in Sri Lanka e Filippine. Fortunatamente l’istituto USA ha bloccato la tranche più cospicua del trasferimento e una certa somma è stata recuperata nei mesi successivi. Tuttavia, più di 60 milioni di dollari avrebbero fatto perdere le proprie tracce grazie ai numerosi passaggi su conti corrente sparsi in tutto il sud-est asiatico. Questa vicenda ha sollevato molti interrogativi sulla reale natura e sulle finalità di Lazarus, tuttora irrisolti. Si è trattato di un tentativo di mettere in ginocchio l’economia del Bangladesh (di per sè tutt’altro che florida) e destabilizzare quel Paese o, piuttosto, di una “volgare” rapina?

Fatto sta che, più tardi, nel periodo 2016 - 2017, mediante la campagna cyber basata sul malware battezzato Ratankba, il gruppo si sarebbe di nuovo concentrato sugli istituti finanziari, questa volta, appartenenti a mezzo mondo.

Infine, dopo l’attacco globale con WannaCryptor, di cui si è già scritto, alla fine dell’anno scorso Lazarus si è interessato al crescente business delle cripto valute e, nello specifico, a un istituto bancario londinese, i cui dipendenti sono stati “bersagliati” da e-mail contenenti allegati o link a siti web, compromessi da un malware appositamente “confezionato”.

In conclusione, che si tratti di un’unità dell’intelligence nord coreana o di cyber criminalità occasionalmente assoldata dal regime, The Lazarus Group si può considerare comunque come un’unità di elite di tutto rispetto. Le sue capacità di lanciare e condurre campagne di portata globale e di “cambiare pelle” continuamente lo rendono, infatti, particolarmente efficace ed estremamente pericoloso.

Che si tratti degli eredi degli antichi, temibili guerrieri Hwarang (giovani appartenenti alle famiglie nobili, che venivani cresciuti e addestrati per formare la leadership militare) o di cyber criminali che hanno instaurato un redditizio sodalizio con il regime, The Lazarus Group costituisce una delle migliori e imprendibili “armate” del cyber spazio.

 

Principali fonti:

https://www.google.it/amp/amp.timeinc.net/fortune/2017/06/22/cybersecuri...

https://www.wired.com/2016/02/sony-hackers-causing-mayhem-years-hit-comp...

https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...

http://securityaffairs.co/wordpress/68221/apt/lazarus-apt-arsenal.html

http://securityaffairs.co/wordpress/66780/hacking/lazarus-apt-cryptocurr...

https://www.cybersecitalia.it/wannacry-lazarus-group-alleato-della-corea...

https://www.kaspersky.com/blog/operation-blockbuster/11407/

https://www.reuters.com/article/us-cyber-northkorea-exclusive/exclusive-...

(foto: web)

https://brica.de/alerts/alert/public/1192203/lazarus-apt-group-targets-a...