da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

In questi tempi in cui si parla tanto di riarmo, e di come finanziarlo, c’è almeno un Paese che da anni sta parzialmente alimentando il suo programma di missili balistici a botte di rapine informatiche: la Corea del Nord.

Il famigerato gruppo Lazarus, uno dei più noti attori malevoli internazionali da tempo associati al regime di Pyongyang da parte di governi e società di cybersicurezza, è tornato nel mirino di esperti di tracciamento di criptovalute e dell’FBI dopo l’attacco informatico del 21 febbraio che ha avuto come vittima finale Bybit, tra i più grandi exchange di criptovalute. Un attacco che si è concretizzato in un furto record di 1,5 miliardi di dollari in asset digitali. E che ha dato vita a una corsa contro il tempo per cercare di recuperare almeno una parte dei soldi, malgrado i depistaggi messi in atto dai cybercriminali.

La dinamica dell’attacco

In sintesi estrema e semplificata, la dinamica è la seguente: il 21 febbraio gli aggressori hanno compromesso il processo di approvazione dietro al trasferimento di fondi da un portafoglio all’altro (da un cold wallet a un hot wallet). Ci sono riusciti perché i gestori di Bybit hanno approvato una transazione che sembrava legittima, ma che in realtà era stata alterata in maniera subdola. Così facendo hanno sottratto 1,5 miliardi di dollari in ether nel più grande cyber furto mai avvenuto a una piattaforma di cambio. Un cold wallet è un portafoglio offline dove si depositano fondi, considerato più sicuro proprio perché disconnesso e usato per custodire buona parte degli asset.

Tuttavia per funzionare un exchange deve periodicamente far passare dei soldi dal cold wallet a un hot wallet, che è invece un portafoglio connesso a internet. E proprio durante un trasferimento di routine da un cold a un hot wallet Ethereum, Bybit ha inconsapevolmente firmato (e quindi autorizzato) una transazione malevola, consentendo ai cybercriminali di spostare circa 401.000 ETH – valutati quasi 1,5 miliardi di dollari al momento dell’hack – verso indirizzi sotto il loro controllo.

Bybit utilizzava per queste attività una soluzione di wallet multi-firma (multisig) di Safe{Wallet}, in cui più di una persona era coinvolta nell’autorizzazione della transazione. Ma gli attaccanti sono riusciti a compromettere un computer di uno sviluppatore di Safe{Wallet}, introducendo modifiche malevole al codice per la visualizzazione delle pagine dell’applicazione web. In pratica è stata modificata l’interfaccia utente di Safe utilizzata specificamente per le transazioni Bybit per far sembrare che le persone autorizzate al trasferimento stessero firmando una transazione legittima.

La dispersione degli asset

Una volta sottratti, i fondi sono stati dirottati su una serie di indirizzi intermediari per disperderli e convertiti in altre criptovalute. Questa dispersione, nota come “chain hopping”, è una tattica comune utilizzata per nascondere le tracce e ostacolare gli sforzi di tracciamento da parte degli analisti della blockchain (dato che, come noto, le transazioni sulla blockchain sono visibili a chiunque).

I cybercriminali hanno anche utilizzato vari strumenti per offuscare la loro attività, passando per exchange decentralizzati (DEX) che permettono scambi senza intermediari, cross-chain bridges (tecnologie che consentono di movimentare asset e informazioni fra blockchain diverse) e servizi di scambio istantaneo per spostare gli asset rubati tra diverse reti.

Le accuse alla Corea del Nord

Ad accusare nero su bianco la Corea del Nord è in primis l’FBI, che è uscita con un annuncio pubblico (li chiama TraderTraitor, ma si sovrappongono al gruppo Lazarus. In realtà il termine gruppo Lazarus tende a inglobare diverse unità nordcoreane di hacking).

E poiché gli attaccanti “stanno procedendo rapidamente e hanno convertito alcuni degli asset rubati in bitcoin e altri asset virtuali dispersi in migliaia di indirizzi su più blockchain”, per poi essere ulteriormente riciclati e infine convertiti in valuta fiat, sempre l’FBI esorta le entità del settore privato, gli exchange, i bridge, i servizi DeFi ecc a bloccare le transazioni con o derivate dagli indirizzi usati dagli attaccanti (che ha messo a disposizione).

Ancora prima dell’FBI era stata la società di analisi della blockchain Elliptic (ma anche altri analisti) ad attribuire il colpo alla Corea del Nord. Un’attribuzione che si basa su “vari fattori, tra cui la nostra analisi del riciclaggio dei cryptoasset rubati. Gli attori malevoli legati alla Corea del Nord hanno rubato oltre 6 miliardi di dollari in criptoasset dal 2017, con i proventi che sarebbero stati spesi per il programma di missili balistici del Paese”, scrive la società sul suo blog.

Il tracciamento dei fondi

Secondo BBC, che riportava informazioni da Bybit e la già citata Elliptic, il 20 per cento dei fondi sottratti sarebbe già divenuto irrecuperabile, sparito, ”gone dark”. E questo malgrado Bybit abbia iniziato “una guerra a Lazarus” (per usare le parole dell’ad Ben Zhou) e abbia lanciato un programma chiamato Lazarus Bounty per incentivare addetti ai lavori a tracciare i fondi rubati e a congelarli, se possibile. “Finora 20 persone si sono spartite più di 4 milioni di dollari di ricompensa per essere riuscite a identificare 40 milioni di dollari di denaro rubato e per aver avvisato le società di criptovaluta di bloccare i trasferimenti”, scrive ancora BBC.

Ma non tutte le società di criptovaluta sono disposte ad aiutare. ByBit ha accusato l’exchange eXch di non essere stato collaborativo. “La maggior parte degli Ether rubati è stata convertita in bitcoin utilizzando eXch e altri servizi”, scrive anche Elliptic. “Come per altri furti legati alla Corea del Nord, questi bitcoin hanno iniziato a passare attraverso dei mixer (servizi che rimescolano cripto di diversi utenti per confondere la loro provenienza, ndr), per offuscare ulteriormente la traccia delle transazioni. Questo processo è appena iniziato, ma già beni rubati del valore di centinaia di migliaia di dollari sono stati inviati attraverso Cryptomixer e Wasabi Wallet”.

Nel frattempo le autorità di regolamentazione europee in materia di criptovalute stanno esaminando l’uso da parte dei cybercriminali di un servizio offerto dall’exchange OKX per riciclare i proventi del furto, riferisce Bloomberg.

Il cursus honorum del gruppo Lazarus

Al gruppo Lazarus, che opera da oltre 10 anni, sono attribuiti alcuni degli incidenti informatici più famigerati, che hanno fatto la storia del cybercrimine. Dal Sony Hack del 2014 alla diffusione del ransomware Wannacry del 2017. Senza dimenticare come nel 2016 riuscirono a trafugare 80 milioni di dollari alla banca del Bangladesh. Tuttavia negli ultimi anni si sono concentrati sempre di più sul mondo delle criptovalute.

Sebbene le tattiche tecniche e procedure (TTPs) adottate dal gruppo siano molto studiate, così come le modalità di trasferimento dei soldi trafugati, la parte di riciclaggio del denaro vero e proprio, di cash out, e la rete di eventuali appoggi internazionali restano ancora molto nell’ombra. A volte ci sono degli eventi che illuminano parzialmente un angolo del contesto in cui si colloca questo attore malevolo (traduzione di threat actor).

Ad esempio, alcuni giorni fa l’Unione Europea ha adottato un nuovo pacchetto di sanzioni contro la Russia, che prende di mira individui accusati di essere coinvolti in operazioni di cyberwarfare e di disinformazione contro l’Ucraina. Tra le persone sanzionate c’è però anche un nordcoreano, Lee Chang Ho, identificato come il capo del Reconnaissance General Bureau (RGB) della Corea del Nord, l’agenzia di intelligence del Paese sotto la quale ricadono anche le operazioni informatiche, che includono spionaggio, attacchi distruttivi e crimini finanziari.

Lee (già sanzionato da Corea del Sud e dagli Stati Uniti) sarebbe coinvolto nel dispiegamento di personale nordcoreano a sostegno della guerra della Russia contro l’Ucraina e avrebbe supervisionato le unità di cyberattacco, tra cui quella nota come gruppo Lazarus.
Invece lo scorso aprile la polizia argentina aveva arrestato un giovane russo residente a Buenos Aires che dal suo appartamento riciclava i proventi del gruppo Lazarus (e di altre attività criminali). La pista argentina aveva seguito i soldi rubati nel colpo al bridge Horizon di Harmony.

Insomma, malgrado i tanti anni di attività il cosiddetto gruppo Lazarus (che ripeto è ormai un termine ombrello che riconduce una serie di unità e attività di hacking alla Corea del Nord) resta ancora un soggetto tanto pericoloso quanto misterioso (e questo malgrado in passato ci siano state anche alcune incriminazioni da parte degli Usa verso specifici individui, che però restano irraggiungibili).

Immagine: France 24

Maggiori dettagli nella live di Guerre di Rete il 18 marzo alle ore 21.

Approfondimenti:
Safe{Wallet} Statement on Targeted Attack on Bybit – Safe
Leveraging Transparency for Collaboration in the Wake of Record-Breaking Bybit Theft – Chainalysis
The largest theft in history – following the money trail from the Bybit Hack – Elliptic
In-Depth Technical Analysis of the Bybit Hack – NCC