Corea del Nord offline: un hacker attacca un'intera nazione

Gli osservatori sull'Internet nordcoreano hanno notato cose strane nelle ultime settimane. Importanti infrastrutture Internet sono andate offline di tanto in tanto, poi sono tornate online e poi sono state nuovamente scollegate. A volte, anche tutti i collegamenti del paese con il mondo esterno sono stati tagliati. I test missilistici sono stati in qualche modo responsabili?

No, è stato un uomo che si fa chiamare P4x a raccontare alla rivista «Wired» perché ha lanciato un cyberattacco contro uno stato.

P4x combatte una battaglia su due fronti. Da un lato, sfida il regime di Kim Jong-Un; dall'altro, chiede più attività o almeno più comunicazione dal governo degli Stati Uniti.

Un anno fino all'hack

P4x non ha scelto la Corea del Nord per caso. Nel gennaio 2021, un hacker gli fa avere uno strumento che voleva provare. Poco dopo, P4x legge un avviso di sicurezza: gli hacker nordcoreani – tutti dipendenti statali – stanno cercando di entrare nei sistemi degli esperti di sicurezza e rubare i loro strumenti.

L'hacker della Corea del Nord è fortunato. Ha aperto lo strumento in una Virtual Machine per eccesso di cautela e così il Remote Access Tool (RAT) nordcoreano non ha ottenuto l'accesso al suo sistema. Riferisce questo incidente all'FBI. P4x viene liquidato con «We take security very seriously» o qualcosa di simile. Questa è una frase che dovrebbe avere un effetto calmante, ma dopo innumerevoli hack è degenerata in una frase priva di significato.

P4x ha aspettato una dichiarazione da parte del governo per un anno. Un contrattacco. Qualsiasi cosa. Ma non è successo niente. P4x non ha più sentito l'FBI né l'Agenzia per la sicurezza informatica e delle infrastrutture (CISA), che è stata anche coinvolta.

Nel frattempo, gli esperti di sicurezza vengono attaccati dalla Corea del Nord, i loro strumenti vengono rubati. Questi possono essere abusati da uno che è all'altezza del male. L'ex hacker NSA e autore Dave Aitel descrive le possibili dimensioni del furto dello strumento come un «secondo SolarWinds». Questa vulnerabilità nel software con lo stesso nome ha dato agli hacker un accesso non autorizzato a migliaia di sistemi governativi e reti aziendali nel 2020. Il danno è stato enorme.

Nel gennaio 2022, un anno dopo l'attacco, P4x ne ha abbastanza. Non vuole vendetta, bensì dare un esempio. Vuole mostrare alla Corea del Nord che il paese non può semplicemente attaccare gli hacker impunemente. E vuole mostrare all'FBI e alla CISA che hanno fallito nelle loro responsabilità. Il loro compito è quello di proteggere il popolo americano. Non si trattava di lasciare gli hacker nordcoreani impuniti.

Il finto hack

P4x non vuole rivelare a Wired quali vulnerabilità ha sfruttato: «Altrimenti la Corea del Nord potrebbe tappare queste falle», dice l'uomo, che non si sente in colpa per aver lanciato un attacco di hacking internazionale.

Ha dei principi, dice. Ha detto che non vuole che venga fatto del male al popolo nordcoreano. Per lui, si trattava di mettere fine al regime del dittatore Kim Jong-Un.

È facile paralizzare il paese. Da un lato, questo è dovuto all'infrastruttura unica della rete chiamata 광명, trascritta Kwangmyong, e dall'altro perché molti dei sistemi della Corea del Nord sono obsoleti.

L'hacker americano ha trovato rapidamente delle vulnerabilità. C'è una versione di Nginx in uso che ha una vulnerabilità nelle intestazioni HTTP. È stata facile da sfruttare. Così lui da solo ha potuto lanciare un efficace attacco denial-of-service su un intero paese. Ha usato le intestazioni per sovraccaricare Nginx. Poi il software del server si è bloccato e ha interrotto la connessione agli altri computer.

P4x non vede l'attacco solo come tale. Si tratta di una ricerca. Vuole sapere esattamente come funziona l'Internet nordcoreano a livello tecnologico. Le sue informazioni devono essere il più possibile dettagliate, vuole conoscere ogni punto debole. Sospetta vulnerabilità nel sistema operativo nordcoreano Red Star OS e ha iniziato a indagare. Red Star OS è basato su Linux – presumibilmente Fedora – ed è antico secondo tutte le informazioni disponibili a livello internazionale. L'ultima versione del servizio di archivio ArchiveOS colloca la versione di Red Star OS al 2019.

Gli attacchi dal salotto di P4x sono per lo più automatizzati: «È come un pentest di piccole e medie dimensioni», dice a Wired, lasciando intendere che è o era un ricercatore di sicurezza nella vita reale. Infatti, un pentest è l'abbreviazione di penetration test.

«È sorprendentemente facile ottenere qualsiasi effetto in Corea del Nord», dice. E afferma che non è ancora alla fine con gli attacchi denial-of-service.

P4x fonda il progetto FUNK sul Darknet

Gli attacchi di P4x hanno suscitato critiche: «Gli hacker che hanno attaccato P4x l'anno scorso sono molto probabilmente in Cina», dice Martyn Williams, un ricercatore del 38 North Project, un centro di analisi per tutto ciò che riguarda la Corea del Nord. P4x ammette che le sue azioni sono al massimo fastidiose per il regime nordcoreano, ma nient'altro. Nessun danno, nessuna impressione duratura: «Quello che ho fatto finora è più o meno come abbattere un manifesto di propaganda o dei graffiti», spiega P4x a Wired.

Finora.

Ma P4x ha assaggiato il sangue. Nella fase successiva – attualmente è nella fase di analisi – vuole penetrare nei sistemi nordcoreani e rubare dati. Questi saranno poi messi a disposizione degli esperti, sperando di fornire loro importanti informazioni sul paese chiuso. Spera nell'aiuto della comunità hacker e ha fondato il FUNK Project. Sulla pagina Darknet, invita gli hacker di tutti i paesi a contribuire.

Il FUNK Project – il nome sta per «Fuck You North Korea» – non ha solo lo scopo di esporre le vulnerabilità dell'Internet nordcoreano e rubare dati. Il suo obiettivo: «Keeping North Korea honest». Sulla pagina del FUNK Project, P4x scrive che una persona può fare la differenza. L'obiettivo è quello di effettuare attacchi proporzionali alla Corea del Nord e raccogliere informazioni in modo che la Corea del Nord non possa hackerare il mondo occidentale senza ostacoli.

Inoltre, spera che l'«hacktivismo» del FUNK Project non solo metta in guardia i nordcoreani, ma anche il governo degli Stati Uniti. I cyberattacchi del progetto non sono solo una reazione all'attacco hacker della Corea del Nord, ma sono anche destinati a dimostrare che il governo degli Stati Uniti non riesce continuamente a proteggere la sua stessa gente – in questo caso, gli esperti di sicurezza.

«Se nessuno mi aiuta, mi aiuto da solo», scrive P4x.