Martedì scorso un funzionario della Casa Bianca ha dichiarato che “circa la metà del programma missilistico della Corea del Nord è stato finanziato da attacchi informatici e furti di criptovaluta”.
Le analisi
È in corso un ampio sforzo da parte del governo federale degli Stati Uniti per capire come “un Paese come [la Corea del Nord]sia così competitivo nel settore dei missili balistici”, ha dichiarato Anne Neuberger, vice consigliere per la sicurezza nazionale per la tecnologia informatica, in occasione di un evento ospitato dal progetto no-profit Special Competitive Studies Project. Secondo una stima delle agenzie Usa l’hacking e la criminalità informatica sono fondamentali per la sopravvivenza del regime nordcoreano. I commenti di Neuberger giungono in un momento di maggiore preoccupazione internazionale per il programma missilistico e nucleare di Pyongyang. Un nuovo missile balistico intercontinentale che la Corea del Nord ha testato ad aprile potrebbe consentire al regime di lanciare più rapidamente attacchi nucleari a lungo raggio. Il mese scorso il Dipartimento di Giustizia ha accusato un uomo nordcoreano di avere creato un elaborato schema di riciclaggio di denaro che ha coinvolto dipendenti di società statunitensi di criptovalute per aiutare a finanziare il regime nordcoreano.
“I cyber criminali finanziano il programma missilistico nordcoreano”
In occasione di un evento pubblico lo scorso luglio, Neuberger aveva affermato che i nordcoreani “usano la cibernetica per ottenere, secondo le nostre stime, fino a un terzo dei loro fondi per finanziare il loro programma missilistico”. Un portavoce di Neuberger ha dichiarato mercoledì alla CNN che la cifra aggiornata da lei citata questa settimana è accurata. Ciò suggerisce che il problema si è aggravato negli ultimi mesi. Secondo quanto riportato dalle Nazioni Unite e da aziende private, negli ultimi anni gli hacker nordcoreani hanno rubato miliardi di dollari da banche e società di criptovalute, costituendo una fonte di reddito fondamentale per il regime. I funzionari statunitensi sospettano da tempo che almeno una parte di questo denaro alimenti lo sviluppo delle armi di Pyongyang, ma raramente hanno parlato pubblicamente in dettaglio della questione. Queste attività informatiche nordcoreane fanno parte di report che le agenzie di intelligence presentano regolarmente ad alti funzionari statunitensi, tra cui talvolta il presidente Joe Biden
Il sequestro
Nel gennaio scorso pochi giorni dopo che la Corea del Nord ha lanciato tre missili balistici in mare una task force di investigatori privati statunitensi e di spie sudocoreane si è riunito presso la sede dei servizi segreti della Corea del Sud. Il suo compito era seguire i 100 milioni di dollari rubati da una società californiana di criptovalute chiamata Harmony, in attesa che gli hacker nordcoreani spostassero le criptovalute rubate in conti che avrebbero potuto essere convertiti in dollari o yuan cinesi, valuta forte che avrebbe potuto finanziare il programma missilistico illegale del Paese. Quando è arrivato il momento la task force, i cui membri, lavorano in un ufficio governativo in una città, Pangyo, conosciuta come la Silicon Valley della Corea del Sud, Alla fine, agli inizi di febbraio, gli hacker hanno spostato una parte del loro bottino su un conto in criptovaluta agganciato al dollaro, cedendone temporaneamente il controllo. Le spie e gli investigatori hanno avuto solo pochi minuti per contribuire a sequestrare il denaro prima che potesse essere riciclato in sicurezza attraverso una serie di conti e reso intoccabile, segnalando la transazione alle forze dell’ordine statunitensi pronte a congelare il denaro. Il team di Pangyo ha contribuito a sequestrare poco più di 1 milione di dollari quel giorno. Anche se gli analisti dicono che la maggior parte dei 100 milioni di dollari rubati rimane fuori portata in criptovalute e altri beni controllati dalla Corea del Nord. L’operazione, condotta dagli investigatori privati di Chainalysis, una società di monitoraggio della blockchain con sede a New York, e confermata dal National Intelligence Service sudcoreano, ha offerto una rara finestra sul torbido mondo dello spionaggio delle criptovalute – e sul crescente sforzo per chiudere quello che è diventato un business multimiliardario per il regime autoritario della Corea del Nord.
L’incontro diplomatico
L’hacking di criptovalute della Corea del Nord è stato al centro dell’attenzione in occasione di un incontro tenutosi il 7 aprile a Seoul, dove i diplomatici statunitensi, giapponesi e sudcoreani hanno rilasciato una dichiarazione congiunta, nella quale hanno denunciato il fatto che il regime di Kim Jong Un continua a “riversare le sue scarse risorse nei suoi programmi di armi di distruzione di massa e di missili balistici”. “Siamo anche profondamente preoccupati per il modo in cui la Repubblica Democratica Popolare di Corea sostiene questi programmi rubando e riciclando fondi e raccogliendo informazioni attraverso attività informatiche dannose”, si legge nella dichiarazione trilaterale
La “Corea del Nord Inc” diventa virtuale
Alla fine degli anni 2000, i funzionari statunitensi e i loro alleati pattugliavano le acque internazionali alla ricerca di segni che la Corea del Nord stesse eludendo le sanzioni attraverso il traffico di armi, carbone o altri carichi preziosi, una pratica che continua ancora oggi. Ora si sta svolgendo una sfida molto moderna tra hacker e riciclatori di denaro a Pyongyang e agenzie di intelligence e forze dell’ordine da Washington a Seul. L’FBI e i Servizi Segreti hanno guidato questo lavoro negli Stati Uniti .
Secondo gli esperti, la successione dei membri della famiglia Kim che ha governato la Corea del Nord negli ultimi 70 anni ha utilizzato le aziende statali per arricchire la famiglia e garantire la sopravvivenza del regime. È un’attività familiare che lo studioso John Park chiama “Corea del Nord incorporated”. Kim Jong Un, l’attuale dittatore della Corea del Nord, ha “raddoppiato le capacità informatiche e il furto di criptovalute come generatore di reddito per il suo regime familiare”, ha detto Park, che dirige il Progetto Corea presso il Belfer Center della Harvard Kennedy School. “La Corea del Nord è diventata virtuale”.
Rispetto al commercio di carbone su cui la Corea del Nord ha fatto affidamento in passato per le sue entrate, il furto di criptovalute richiede molto meno lavoro e capitale, ha detto Park. E i profitti sono astronomici. Secondo Chainalysis, l’anno scorso è stata rubata la cifra record di 3,8 miliardi di dollari in criptovalute in tutto il mondo. Quasi la metà, ovvero 1,7 miliardi di dollari, è stata opera di hacker legati alla Corea del Nord.
Non è chiaro quanto dei miliardi di criptovalute rubate la Corea del Nord sia riuscita a convertire in denaro contante. In un’intervista, un funzionario del Tesoro statunitense che si occupa di Corea del Nord ha rifiutato di fornire una stima. Il registro pubblico delle transazioni blockchain aiuta i funzionari statunitensi a tracciare gli sforzi dei sospetti operatori nordcoreani per spostare criptovalute, ha detto il funzionario del Tesoro. Ma è “estremamente preoccupante il fatto che la Corea del Nord viene aiutata da altri Paesi a riciclare quel denaro”, ha detto il funzionario, che non ha fatto il nome di un Paese in particolare, ma nel 2020 gli Stati Uniti hanno incriminato due uomini cinesi per il presunto riciclaggio di oltre 100 milioni di dollari per la Corea del Nord). Gli hacker di Pyongyang hanno anche setacciato le reti di vari governi e aziende straniere alla ricerca di informazioni tecniche chiave che potrebbero essere utili per il suo programma nucleare, secondo un rapporto privato delle Nazioni Unite di febbraio esaminato dalla CNN.
Il giro di vite
Un portavoce del National Intelligence Service della Corea del Sud ha dichiarato alla CNN di aver sviluppato un sistema di “condivisione rapida delle informazioni” con alleati e aziende private per rispondere alla minaccia e di essere alla ricerca di nuovi modi per impedire che le criptovalute rubate vengano contrabbandate in Corea del Nord. Gli sforzi recenti si sono concentrati sull’uso da parte della Corea del Nord dei cosiddetti mixer di criptovalute, strumenti disponibili pubblicamente utilizzati per oscurare l’origine delle criptovalute.
Il 15 marzo scorso, il Dipartimento di Giustizia e le forze dell’ordine europee hanno annunciato la chiusura di un servizio di miscelazione noto come ChipMixer, che i nordcoreani avrebbero utilizzato per riciclare una quantità imprecisata dei circa 700 milioni di dollari rubati dagli hacker in tre diverse rapine di criptovalute, tra cui quella da 100 milioni di dollari ai danni della società californiana Harmony. Gli investigatori privati utilizzano un software di tracciamento della blockchain – e i loro occhi quando il software li avverte – per individuare il momento in cui i fondi rubati lasciano le mani dei nordcoreani e possono essere sequestrati. Ma gli investigatori hanno bisogno di relazioni di fiducia con le forze dell’ordine e le società di criptovaluta per muoversi abbastanza rapidamente da recuperare i fondi.
Una delle più grandi contromosse degli Stati Uniti è avvenuta ad agosto del 2022, quando il Dipartimento del Tesoro ha sanzionato un servizio di “miscelazione” di criptovalute noto come Tornado Cash, che avrebbe riciclato 455 milioni di dollari per gli hacker nordcoreani. Tornado Cash era particolarmente prezioso perché aveva una maggiore liquidità rispetto ad altri servizi, consentendo al denaro nordcoreano di nascondersi più facilmente tra le altre fonti di finanziamento. Tornado Cash sta ora elaborando un minor numero di transazioni dopo che le sanzioni del Tesoro hanno costretto i nordcoreani a rivolgersi ad altri servizi di miscelazione. Secondo Chainalysis, i sospetti operatori nordcoreani hanno inviato 24 milioni di dollari a dicembre e gennaio attraverso un nuovo servizio di miscelazione, Sinbad, ma non ci sono ancora segnali che dimostrino che Sinbad sia efficace nel muovere denaro come Tornado Cash.
Le persone che stanno dietro ai servizi di miscelazione, come lo sviluppatore di Tornado Cash Roman Semenov, si descrivono spesso come sostenitori della privacy, i quali sono dell’opinione che i loro strumenti di criptovaluta possono essere usati bene o male come qualsiasi tecnologia. Ma questo non ha impedito alle forze dell’ordine di dare un giro di vite. In agosto la polizia olandese ha arrestato un altro sospetto sviluppatore di Tornado Cash, Alexsei Pertsev per presunto riciclaggio di denaro.
Gli investigatori della blockchain
Le aziende private di cripto-tracciamento, come Chainalysis, sono sempre più spesso composte da ex agenti delle forze dell’ordine statunitensi ed europee che applicano ciò che hanno imparato nel mondo riservato per tracciare il riciclaggio di denaro di Pyongyang. Elliptic, un’azienda londinese con ex agenti delle forze dell’ordine nel suo staff, sostiene di aver contribuito a sequestrare 1,4 milioni di dollari in denaro nordcoreano rubato nell’hacking di Harmony. Gli analisti di Elliptic hanno dichiarato alla CNN di essere stati in grado di seguire il denaro in tempo reale a febbraio, mentre si spostava brevemente su due popolari borse di criptovalute, Huobi e Binance. Gli analisti affermano di aver informato rapidamente le borse, che hanno congelato il denaro. “È un po’ come le importazioni di droga su larga scala”, ha dichiarato alla CNN Tom Robinson, cofondatore di Elliptic. “I nordcoreani sono disposti a perderne un po’, ma la maggior parte probabilmente passa solo in virtù del volume e della velocità con cui lo fanno e sono piuttosto sofisticati”.
Ladri contro ladri e schema Ponzi
I nordcoreani non stanno solo cercando di rubare alle società di criptovalute, ma anche direttamente ad altri ladri di criptovalute. Dopo che un hacker sconosciuto ha rubato 200 milioni di dollari alla società britannica Euler Finance a marzo, i sospetti operatori nordcoreani hanno cercato di tendere una trappola: hanno inviato all’hacker un messaggio sulla blockchain con una vulnerabilità che poteva essere un tentativo di accedere ai fondi, secondo Elliptic. (Lo stratagemma non ha funzionato). Nick Carlsen, che è stato analista dell’intelligence dell’FBI focalizzato sulla Corea del Nord fino al 2021, stima che la Corea del Nord possa avere solo un paio di centinaia di persone concentrate sul compito di sfruttare le criptovalute per eludere le sanzioni. Con uno sforzo internazionale per sanzionare gli scambi di criptovalute disonesti e sequestrare il denaro rubato, Carlsen teme che la Corea del Nord possa rivolgersi a forme di frode meno appariscenti. Piuttosto che rubare mezzo miliardo di dollari da una borsa di criptovalute, suggerisce, gli operatori di Pyongyang potrebbero mettere in piedi uno schema Ponzi che attiri molta meno attenzione.
Tuttavia, anche con margini di profitto ridotti, il furto di criptovalute è ancora “estremamente redditizio”, ha detto Carlsen, che ora lavora presso la società di investigazione sulle frodi TRM Labs. “Quindi, non hanno motivo di fermarsi”.
