Con le tattiche di infiltrazione della Corea del Nord che diventano sempre più sofisticate, gli esperti di sicurezza affermano che l'industria delle criptovalute deve capire cosa distingue il regime da ogni altro hacker sostenuto dallo stato — e perché quella differenza lo rende una minaccia pericolosa per l'ecosistema.
La risposta breve, secondo gli esperti di sicurezza, è che le criptovalute aiutano a fornire al regime un flusso di entrate e a mantenerlo a galla.
La Corea del Nord non ha il lusso della pazienza," ha detto Dave Schwed, direttore operativo di SVRN e fondatore del programma di master in cybersecurity presso la Yeshiva University. "È sotto sanzioni internazionali complete e ha bisogno di valuta forte per finanziare i programmi di armi. Le Nazioni Unite e molte agenzie di intelligence hanno confermato che il furto di criptovalute è un meccanismo di finanziamento primario per lo sviluppo di armi nucleari e missili balistici."
Quella urgenza spiega una dinamica che ha a lungo sconcertato gli investigatori: perché gli hacker nordcoreani portano a termine rapine su larga scala e tracciabili su blockchain pubbliche invece di utilizzare silenziosamente la crypto per eludere le sanzioni come fanno altri attori statali.
La risposta, sostiene Schwed, è strutturale. La Russia ha ancora un'economia: petrolio, gas, esportazioni di materie prime e partner commerciali disposti ad utilizzare soluzioni alternative. Ha bisogno della crypto come sistema di pagamento, ma non per molto altro. Anche l'Iran ha beni da spostare — petrolio sanzionato, reti di finanziamento per procura, intermediari disposti in tutto il Medio Oriente. La Corea del Nord non ha quasi nulla da vendere.
Le loro esportazioni sono quasi interamente sanzionate. Non hanno un'economia funzionante che necessiti di un sistema di pagamento. Hanno bisogno di entrate dirette," ha detto Schwed. "Il furto di crypto offre loro accesso immediato a valore liquido, a livello globale, senza bisogno di una controparte disposta a fare affari con loro."
Quella distinzione — crypto come infrastruttura rispetto a crypto come obiettivo — è ciò che separa la Corea del Nord non solo dalla Russia, ma anche dall'Iran. Mentre la Russia instrada denaro attraverso la crypto per aggirare le sanzioni, e l'Iran la utilizza per finanziare reti di procura in tutto il Medio Oriente, la Corea del Nord sta gestendo qualcosa di più simile a un'operazione di rapina sponsorizzata dallo stato.
I loro obiettivi sono gli exchange, i fornitori di wallet, i protocolli DeFi e gli ingegneri e fondatori individuali che hanno autorità di firma o accesso all'infrastruttura," ha detto Alexander Urbelis, chief information security officer di ENS Labs e professore di cybersecurity al King's College di Londra. "La vittima è chiunque detenga le chiavi o l'accesso all'infrastruttura che detiene le chiavi."
La Russia e l'Iran, in confronto, trattano la crypto come incidentale, un mezzo per obiettivi geopolitici più ampi.
La Russia prende di mira le elezioni, le infrastrutture energetiche e i sistemi governativi. L'Iran perseguita dissidenti e avversari regionali," ha detto Urbelis. "Quando uno di loro tocca la crypto, lo fa per trasferire denaro, non per rubarlo dall'ecosistema."
Quel focus singolare ha spinto gli agenti nordcoreani ad adottare tattiche più comunemente associate alle agenzie di intelligence che agli hacker criminali: costruzione di relazioni che durano mesi, identità fabbricate e infiltrazione nella catena di approvvigionamento.
Non stai difendendo contro un'email di phishing da un truffatore casuale," ha detto Urbelis. "Stai difendendo contro qualcuno che ha trascorso sei mesi a costruire una relazione specificamente per compromettere una persona che ha l'accesso necessario da proteggere."
La campagna Drift è solo il più recente esempio.
"Una volta che una transazione è firmata e confermata, è definitiva," ha detto Urbelis. L'exploit di Bybit all'inizio dell'anno scorso ha trasferito 1,5 miliardi di dollari in circa 30 minuti, un ritmo e una scala che sarebbero quasi impossibili nel sistema bancario tradizionale.
L'architettura della crypto la rende un terreno di caccia unicamente attraente. Nella finanza tradizionale, anche gli attacchi riusciti si imbattono in attriti sotto forma di controlli di conformità, controlli delle banche corrispondenti, ritardi nei regolamenti e la possibilità di annullare trasferimenti fraudolenti. Quando gli hacker della Corea del Nord hanno portato a termine la rapina alla Bangladesh Bank nel 2016, la rapina ha richiesto giorni per essere elaborata e la maggior parte dei fondi è stata infine recuperata o bloccata. Nella crypto, nessuna di queste protezioni esiste a livello di protocollo.
E mentre le banche operano sotto decenni di linee guida normative e requisiti di audit, molti progetti crypto stanno ancora improvvisando — spesso dando priorità alla velocità e all'innovazione rispetto alla governance e ai controlli.
Quella finalità cambia fondamentalmente il calcolo della sicurezza. Nella banca, si può costruire una difesa ragionevole attraverso prevenzione, rilevamento e risposta, perché c'è sempre una finestra per congelare fondi o annullare un bonifico. Nella crypto, quella finestra esiste a malapena, il che significa che fermare un attacco prima che accada non è solo preferibile — è essenzialmente l'unica opzione.
Quella lacuna crea un ambiente in cui anche i team sofisticati possono essere vulnerabili, in particolare al tipo di tattiche di infiltrazione a lungo termine che la Corea del Nord ha affinato.
Questo è il problema di sicurezza operativa più difficile nella crypto in questo momento," ha detto Urbelis riguardo alla sfida di verificare identità false sofisticate e intermediari di terze parti. "Non credo che l'industria lo abbia risolto.