Entra nel nostro canale Telegram
    News In evidenza

    Come il gruppo nordcoreano APT43 usa il cyber crime per finanziare operazioni di spionaggio

    Fortunato VadalaBy Updated:4 Mins Read
    APT43 è un operatore informatico molto attivo che sostiene gli interessi del regime nordcoreano utilizzando operazioni di cyber crime per il suo finanziamento.
    Entra nel canale Telegram di Decripto.org

    APT43 è un operatore informatico molto attivo che sostiene gli interessi del regime nordcoreano. Il gruppo combina competenze tecniche moderatamente sofisticate con tattiche aggressive di social engineering, in particolare contro organizzazioni governative, accademici e think tank della Corea del Sud e Stati Uniti, che si concentrano su questioni geopolitiche della penisola coreana. Oltre alle campagne di spionaggio, Mandiant, un’azienda americana di sicurezza informatica di cu è proprietaria Google, ritiene che l’APT43 si finanzi attraverso operazioni di criminalità informatica per sostenere la sua missione primaria di raccolta di informazioni strategiche. Il gruppo nordcoreano crea numerose identità fraudolente e spoofed a scopo di social engineering, oltre a fornire copertura per l’acquisto di strumenti e infrastrutture operative. Il gruppo APT43 ha collaborato con altri operatori spionistici nordcoreani in diverse operazioni, sottolineando il ruolo importante che svolge nel sistema informatico del regime.

    Dettagli delle minacce

    Le campagne attribuite all’APT43 comprendono la raccolta di informazioni strategiche allineate agli interessi geopolitici di Pyongyang, la raccolta di credenziali e l’ingegneria sociale per sostenere le attività di spionaggio e il crimine informatico a sfondo finanziario per finanziare le operazioni di spionaggio. Tracciate dal 2018, le attività di rilevamento di APT43 si allineano alla missione del General Reconnaissance Bureau (RGB), la principale agenzia di intelligence estera della Corea del Nord. L’attenzione del gruppo alle questioni di politica estera e di sicurezza nucleare sostiene le ambizioni strategiche e nucleari della Corea del Nord. Tuttavia, l’attenzione del gruppo per i settori verticali legati alla salute per la maggior parte del 2021, presumibilmente per scopi di risposta alle pandemie, dimostra che il gruppo è sensibile alle mutevoli priorità di Pyongyang.

    Le attività attribuite all’APT43 sono spesso indicate come “Kimsuky” o “Thallium” e comprendono la raccolta di informazioni identificative e attività di spionaggio, probabilmente finalizzate a informare la leadership nordcoreana sugli sviluppi geopolitici in corso. Le operazioni più frequentemente osservate sono campagne di spear-phishing che si basano su domini e indirizzi e-mail spoofed come parte delle loro tattiche di ingegneria sociale. I domini che si spacciano per siti legittimi sono utilizzati come parte delle operazioni di raccolta delle credenziali. Questo gruppo mantiene un alto tasso di attività, è prolifico nelle sue campagne di phishing e di raccolta di credenziali e ha dimostrato di essere coordinato con altri elementi dell’ecosistema informatico nordcoreano.

    I Paesi attaccati dall’APT43

    Obiettivi

    I bersagli sono la Corea del Sud, il Giappone, l’Europa e gli Stati Uniti, in particolare nei seguenti settori:

    • Governo
    • Aziende di servizi
    • Industria manifatturiera
    • Istruzione, ricerca e think tank che si occupano di politica geopolitica e nucleare.

    Sebbene il target sia ampio, l’obiettivo finale delle campagne è molto probabilmente quello di concentrarsi sullo sviluppo del programma di armamento della Corea del Nord, compresa la raccolta di informazioni sui negoziati internazionali, sulla politica delle sanzioni, sulle relazioni estere e sulla politica interna di altri Paesi, in quanto possono influenzare le ambizioni nucleari della Corea del Nord.

    Il riciclaggio di criptomonete attraverso li servizi di hash rental usati dal grupp APT43

    Le attività nel settore delle criptovalute

    Nel comunicato stampa di Mandiant si legge che “”L’APT43 ruba e ricicla una quantità di criptovaluta sufficiente ad acquistare infrastrutture operative in linea con l’ideologia di autosufficienza dello Stato della Corea del Nord, riducendo così la pressione fiscale sul governo centrale”. I ricercatori hanno rilevato il “probabile utilizzo da parte del gruppo nordcoreano di servizi di hash rental e cloud mining per riciclare criptovalute rubate in cripto pulite”. Queste due attività, molto simili, prevedono l’affitto di risorse per il mining di criptovalute. Secondo Mandiant, consentono di minare criptovalute “in un wallet selezionato dall’acquirente senza alcuna associazione basata su blockchain con i pagamenti originali dell’acquirente”. Mandiant ha identificato i metodi di pagamento, gli alias e gli indirizzi utilizzati per gli acquisti da parte del gruppo. PayPal, carte American Express e “Bitcoin probabilmente ricavati da operazioni precedenti” erano i metodi di pagamento utilizzati dall’organizzazione. Inoltre, APT43 era coinvolto nell’uso di malware Android per raccogliere le credenziali di persone in Cina alla ricerca di prestiti in criptovaluta. Il gruppo gestisce anche diversi siti di spoofing per la raccolta mirata di credenziali. La Corea del Nord è stata coinvolta in numerosi furti di criptovalute, tra cui il recente exploit di Euler per oltre 195 milioni di dollari. Secondo le Nazioni Unite, nel 2022 gli hacker nordcoreani hanno realizzato un bottino record compreso tra 630 milioni e oltre 1 miliardo di dollari. Secondo Chainalysis, la cifra è di almeno 1,7 miliardi di dollari.

    Laureato in Scienze Bancarie e Assicurative ha svolto la sua attività nel campo finanziario, prima di dedicarsi al settore immobiliare. Ha sempre avuto l'hobby del giornalismo, che ha sviluppato nel tempo curando un suo blog personale, partecipando alla comunicazione del movimento contro le mafie "Ammazzatecitutti", collaborando per la testata oniline "Net1news" e corrispondente per il quotidiano "Calabria Ora". Ha collaborato con l'associazione "Garante Condominio" e la testata "Reccom Magazine" specializzata a trattare i temi della scienza e della tecnologia.

    Articoli correlati

    Entra nel nostro canale Telegram esclusivo
    VUOI SOSTENERCI?
    GOFUNDME

    Fai la tua donazione in crypto inviando a decripto.eth su qualsiasi rete EVM

    Decripto.org è una rivista giornalistica dal 01/06/2022 con la denominazione di Decripto.org, testata iscritta al registro stampa presso il Tribunale di Napoli n° 24 del 01/06/2022, R. G. n.: 4398/22 ai sensi della Legge sulla Stampa 8/2/1948 di proprietà di Decripto World s.r.l. | Via Santa Lucia 16 CAP 35020| Albignasego (PD) | P.iva. 05501570286

    ©COPYRIGHT 2022 TUTTI I DIRITTI RISERVATI. La riproduzione o la diffusione senza l’autorizzazione dell’editore sono vietate. Alle violazioni si applicano le sanzioni previste dagli artt. 171, 171-bis, 171-ter, 174-bis e 174-ter L. 633/1941. Le opere presenti in questo sito hanno assolto gli obblighi derivanti dalla normativa sui diritti d’autore e connessi.
    Facebook Twitter Instagram Telegram Github Discord
    © 2023 decripto.org

    Vuoi diventare
    Agent di Decripto?

    Unisciti a noi come Agent di Decripto e contribuisci a rendere la community più sicura e informata.

    Scopri di più