Chi ha spento internet in North Korea? Chi ha rotto il giocattolo di Kim? La scorsa settimana, e per tutto il week-end, qualcuno ha interrotto il traffico di rete nella DPRK. Tutti i server sensibili più importanti del Paese sono diventati improvvisamente irraggiungibili. Lo testimoniano i file di registro e i record analizzati dagli esperti informatici locali.
Un attacco DDoS (Distributed Denial of Service) in pompa magna ha colpito la debole infrastruttura informatica di Pyongyang, causando l’interruzione di internet. Il cyberattacco è arrivato a poche ore dal termine del quinto dei test missilistici di questi giorni, voluti dal plenipotenziario Kim Jong-un.
Dati i presupposti, sembrerebbe dunque l’exploit di disturbo da parte di un commando cibernetico di qualche potenza straniera occidentale, quale conseguenza ai test missilistici proibiti effettuati per ordine del despota del “paese eremita”. Nossignore, non è andata così.
L’attacco, condotto secondo Wired da un solo individuo, che si qualifica con lo pseudonimo di P4x (ha ritenuto di non usare il suo vero nome per paura di ritorsioni), ha sfruttato le defaillance delle difese dei sistemi nordcoreani, che mancavano di alcune delle patch di sicurezza più elementari.
L’hacker attaccante, di nazionalità ancora non confermata (ma verosimilmente americano), pare abbia dichiarato di aver agito in rappresaglia contro sconosciuti criminal hacker nordcoreani, che non più tardi di un anno prima, avevano preso di mira i professionisti della sicurezza (tra cui lui) ed i ricercatori di Google, che invece cercavano di interagire in maniera amichevole con loro.
Inizialmente i tecnocriminali della North Korea, si erano inseriti nella community dei ricercatori della Mountain View, spacciandosi per loro omologhi, e creando un clima di collaborazione reciproca nelle chat e su Twitter. Una volta ottenuta la fiducia dei ricercatori, i criminal hacker di Pyongyang hanno iniziato a diffondere contenuti malevoli nelle chat condivise, infettando i sistemi informatici dei ricercatori.
Lo stesso P4x aveva ricevuto da uno sconosciuto tra questi finti ricercatori, un file che conteneva al suo interno una “backdoor” progettata per auto-installarsi nel computer della vittima. Chiaramente lo scaltro P4x aveva isolato e messo in “quarantena” il malware dal suo sistema, ma era comunque sorpreso di essere stato vittima di un tentativo di hackeraggio da parte dei tecnocriminali nordcoreani.
Una volta denunciato alla Fbi il tentativo di hackeraggio ai propri mezzi informatici da parte dei tecnocriminali nordcoreani, P4x era rimasto comunque sconvolto dal fatto di non aver mai ricevuto un aiuto reale da parte delle autorità competenti… nessuna valutazione degli eventuali danni subiti, ma nemmeno delle indicazioni minime che gli servissero per proteggersi in un immediato futuro.
Ed è qui che entra in scena P4x. Lui stesso, dopo una lunga ed estenuante ricerca del target, avrebbe individuato le vulnerabilità prive di patch nei server nordcoreani. A questo punto tutto era pronto per un attacco in grande stile.
Utilizzando la strategia del DDoS, P4x ha lanciato una serie di attacchi che hanno pesantemente impattato sull’infrastruttura informatica della North Korea, mettendola fuori uso e scollegandola da internet. Pare siano state tante le vulnerabilità informatiche del “sistema-paese” nordcoreano, secondo “l’ethical hacker” americano. A cominciare dal bug del software del server Web NginX, il quale gestisce in modo anomalo alcune intestazioni Http, così da essere facilmente violato e procurando l’offline dei server su cui esso “gira”. Nella sua lenta ricerca di “penetration test”, P4x ha riscontrato anche versioni obsolete del software dei “server web Apache” e dice di aver iniziato a esaminare il sistema operativo della Corea del Nord, noto come “Red Star OS”. In definitiva, la strategia di “whitehat hacking”, nella ricerca delle vulnerabilità dei sistemi nordcoreani, da parte di P4x, pare sia stata relativamente semplice, visto che l’autore dell’exploit l’ha utilizzata lecitamente di recente anche presso un suo cliente.
Durante l’offensiva cibernetica sono stati disconnessi in massa, e a intermittenza, i portali web come il sito di prenotazione della compagnia aerea di bandiera, Air Koryo a Naenara; il portale ufficiale del dittatore Kim; i server centrali utilizzati per la gestione della posta elettronica; probabilmente anche uno dei router principali che abilitano l’accesso alla rete del Paese, isolandolo dal resto del mondo esterno.
È utile ricordare che Kwangmyong, l’intranet ufficiale della Corea del Nord, utilizzata dalla generalità del popolo, è una rete chiusa, e sono accessibili solamente poche decine di siti web registrati su domini .kp. C’è poi una piccola élite di fortunati (i leaders governativi, gli hackers militari, i laboratori di ricerca, ecc), costituita da poche migliaia di persone, che usa internet come noi lo conosciamo. Infine, troviamo una manciata di persone altolocate (Kim e la sua famiglia ad esempio) che utilizza internet in maniera “ricreativa” (Facebook, film, libri, tecnologia proibita, beni di lusso proibiti e cibi e alcol introdotti di nascosto per il loro piacere), ma semplicemente perché non vive la dimensione dei suoi connazionali.
Ora, l’azione isolata di P4x, contro i router della North Korea, ha abbattuto certamente il traffico di rete dall’interno e impedito l’accesso dall’esterno ai servizi web del paese. Ma di fatto i “cittadini fortunati“ del paese eremita hanno continuato ad avere l’accesso in uscita al resto di internet e a fruire dei servizi esterni. Dunque, le dozzine di siti colpiti nell’exploit da parte di P4x sono utilizzati dalle funzioni del regime.
Alcuni analisti ed esperti del settore sono concordi nell’affermare che l’azione isolata di rappresaglia da parte di P4x fosse semplicemente orientata a creare fastidio alla dittatura. Diversamente, se il suo obiettivo erano invece i criminal hacker del Reconnaissance General Bureau – RGB (il commando cibernetico del Korean People’s Army – KPA), o l’intento di abbattere “pezzi di regime” di Kim, allora P4x era sicuramente fuori strada, dato che la maggior parte delle “warfare di stato” avviene da paesi collocati all’esterno dei confini nazionali della North Korea, come ad esempio la Cina.
L’ethical hacker riconosce di non ambire a tanto, ma semplicemente vuole cercare di maturare l’expertise necessaria per procurare quante più informazioni possibili sui bugs eventualmente presenti nell’infrastruttura cibernetica nordcoreana, rendendole disponibili alle autorità istituzionali. Da qui egli ha lanciato il FUNK Project (FU North Korea), al fine di raccogliere gli sforzi di più persone che la pensano come lui nel tentativo di meditare una “potenza di fuoco collettiva”.
Apparentemente parrebbe singolare, che nulla sia stato detto da parte delle istituzioni governative Usa in merito alla presunta incursione malevola della North Korea, e altrettanto nulla è stato fatto per rispondere ad un’aggressione di quella portata. Va detto, comunque, che alcuni tra gli esperti di warfare ritengono che l’operato di un singolo sia vano e molto pericoloso, perché paradossalmente esporrebbe la comunità internazionale ad un rischio potenzialmente maggiore. La North Korea potrebbe anche agire in rappresaglia, se dovesse ritenere che l’attacco ai sistemi informatici e alla loro rete internet sia stata frutto di un’azione orchestrata invece dal governo degli Stati Uniti.
C’è anche da dire, infine, che la community dei ricercatori sulla sicurezza informatica è ancora molto perplessa e convinta che generalmente le Agenzie di Stato statunitensi, come la Cisa (Cybersecurity and Infrastructure Security Agency), rivolgano i loro sforzi contro le minacce informatiche, esclusivamente a protezione del governo, delle società commerciali, ma non dei singoli individui. Sembrerebbe che ci sia ancora molto da fare in questo settore.