Nel mirino degli hacker coreani di Atp 38 almeno 1,1 miliardi delle banche. In un mondo iperconnesso, dove il denaro sembra essere l’unico ideale da perseguire, i confini geografici non significano più nulla e niente impedisce agli stati canaglia di colpire dove vogliono per perseguire i loro fini.
Un caso esemplare è quello della Corea del Nord. Secondo uno studio effettuato dalla società specializzata in sicurezza informatica FireEye, il gruppo di hacker conosciuto come ATP38 è il braccio armato informatico del regime di Pyongyang e dal 2014 ad oggi ha cercato di rubare almeno 1.1 miliardi di dollari alle banche di otto diversi Paesi quali Stati Uniti, Brasile, Chile, Vietnam, Malesia, Turchia, Bangladesh e Filippine.
«Gli attacchi di cui stiamo parlando – dice Sandra Joyce, Head of Global Intelligence di FireEye – non sono certo firmati dagli autori, ma possiamo essere ragionevolmente certi che siano stati compiuti dagli hacker di stato nordcoreani in base ai dati che abbiamo raccolto tramite il nostro network di sensori e le indagini presso alcuni nostri clienti. Il risultato certo è che le banche sono sotto attacco da parte di una forza legata a un governo».
Ma perché un Governo dovrebbe attaccare le banche? «Siamo praticamente certi – spiega Joyce – che la Corea del Nord sfrutti questi attacchi per rimpinguare le casse dello stato, duramente provate dalle sanzioni economiche che sono seguite ai loro test nucleari».
Uno schema del report, in effetti, mostra come le attività dell’APT 38 siano iniziate circa un anno dopo l’entrata in vigore delle prime sanzioni e che ad ogni nuovo pacchetto di restrizioni economiche è seguito un intensificarsi delle operazioni contro le banche.
«Le banche attaccate sono in tutto il mondo – dice ancora Joyce – e sembra che l’unica motivazione sia quella di rubare dei soldi, ovunque siano disponibili. Sono hacker molto abili e pazienti, in grado di studiare le procedure delle banche violate anche per dei mesi prima di procedere al furto vero e proprio».
In media, si legge nel report, gli hacker nordcoreani restano silenti a spiare le procedure interne per quasi 3 mesi, ma in un caso sono rimasti nei sistemi della banca per quasi due anni. In questo lasso di tempo imparano tutte le procedure interne usate dagli impiegati per muovere il denaro e quando si sentono pronti ricorrono a del malware che hanno preparato appositamente, chiamato DYEPACK, per attaccare il sever SWIFT. Ma finito l’attacco, non finiscono i problemi per la banca.
«Un tratto distintivo del loro modo di operare – conclude Joyce – è quello di fare terra bruciata dei sistemi delle banche attaccate alla fine delle loro operazioni. Iniettano dei finti ransomware o dei programmi che distruggono i dischi fissi per tenere impegnati i tecnici dell’azienda e cancellare le tracce del loro operato».
Anche se FireEye non ha rilasciato una cifra precisa, le loro stime non ufficiali parlano di centinaia di milioni di bottino portati a casa in questi ultimi 4 anni.
Fermarli non è semplice, ma serve una combinazione di tecnologie informatiche e robuste procedure interne anti-truffa, pensate sapendo che questi maghi della violazione potrebbero essere già all’interno dei sistemi.
Lascia un commento