Tutto Quello Che Devi Sapere su Bureau 121 - TechRobot

Tutto Quello Che Devi Sapere su Bureau 121

Bureau 121 è l’unità di hacking di punta della Corea del Nord. L’elite militare di hacker lavora sotto il Reconnaissance General Bureau, o RGB, l’agenzia spionistica segreta nordcoreana.

Si ritiene che le operazioni cibernetiche del Bureau rappresentino un modo economicamente vantaggioso per la Corea del Nord di mantenere un’opzione militare asimmetrica e un mezzo per raccogliere informazioni. I principali obiettivi di intelligence sono la Corea del Sud, il Giappone e gli Stati Uniti. Inoltre, si dice che la Corea del Nord utilizzi le sue capacità di guerra cibernetica per spionaggio e supporti la sua propaganda.

L’Unità prende di mira diversi settori, tra cui produttori farmaceutici, istituti di ricerca, istituzioni finanziarie, aziende IT, organizzazioni governative e importanti aziende biotecnologiche. Il suo scopo principale è condurre attività distruttive e di spionaggio contro reti e sistemi target in tutto il mondo.

Bureau 121 ha quattro principali unità subordinate, il Gruppo Andariel, il Gruppo Bluenoroff, un Reggimento di Guerra Elettronica e il Gruppo Lazarus.

Breve Storia del Bureau 121

Dalla creazione del Bureau 121 negli anni ’80, ha rapidamente espanso le sue attività dal 1998. Parte dell’unità è talvolta conosciuta come la DarkSeoul Gang. Sebbene la Corea del Nord rimanga uno dei paesi più poveri, investe molto nel Bureau 121. L’unità ha una base di membri stimata in 6.000 persone ed è l’unica organizzazione nordcoreana che opera al di fuori dei suoi confini. Il Bureau 121 conduce operazioni per estrarre denaro da organizzazioni in tutto il mondo attraverso varie tattiche.

Il corpo militare informatico della Corea del Nord conta presumibilmente tra i 3.000 e i 6.000 addetti che lavorano presso il Bureau 121, all’interno del Reconnaissance General Bureau della nazione reclusiva. I suoi successi più notevoli sono gli attacchi alle banche e agli organi di informazione sudcoreani che li hanno costretti offline per diversi giorni nel 2013.

L’RGB (Reconnaissance General Bureau) è la principale agenzia di intelligence militare della Corea del Nord. Il Bureau 121, insieme all’RGB, è presumibilmente responsabile dell’attacco ransomware WannaCry nel 2017, dell’attacco informatico del 2014 alla Sony Pictures Entertainment e di numerosi crimini informatici. Si stima che l’RGB controlli oltre 6.000 hacker supportati da più di 1.000 membri dello staff tecnico.

Si dice che la RGB abbia selezionato personalmente i membri del Bureau121 in base alla loro attitudine verso l’hacking e l’informatica. Le persone temono questo gruppo di hacker in tutto il mondo a causa della loro capacità di infiltrarsi e disabilitare organizzazioni commerciali, istituzioni finanziarie e sistemi militari.

Bureau 121 è specializzato in sabotaggi e spionaggio all’estero. Include la guerra informatica, attacchi fisici a personale chiave e persino il ricatto di disertori fuggiti dalla Corea del Nord verso l’Occidente. Per condurre una “guerra segreta”, il Bureau 121 agisce per sabotare o spiare i nemici di Pyongyang.

Presunti Attacchi Riusciti del Bureau 121 

Bureau 121 ha lanciato una serie di attacchi, specialmente durante i suoi anni di attività. Si ritiene sia responsabile di attacchi sia nel settore privato che in quello pubblico in diversi paesi.

Sony Pictures

Nel novembre 2014, un gruppo di hacker ha attaccato Sony Pictures Entertainment. Hanno ottenuto l’accesso non autorizzato alla rete dell’azienda e hanno hackerato informazioni private e hard disk delle persone. Gli hacker hanno richiesto che Sony ritirasse il film “The Interview.” La violazione dei dati ha avuto gravi ripercussioni. Informazioni personali e stipendi, email aziendali, e film, piani e script non ancora pubblicati sono stati hackerati. Inoltre, diversi film non ancora rilasciati sono stati trapelati online, inclusi “Fury,” “Annie,” e “Mr. Turner.” Anche l’infrastruttura informatica di Sony è stata distrutta.

L’FBI ha indagato, e il governo degli Stati Uniti ha puntato il dito contro la Corea del Nord.

Oltre a rubare informazioni sensibili dallo studio cinematografico e a pubblicarle per il consumo pubblico, gli hacker hanno anche messo offline molti dei sistemi informatici della SPE, inclusa la posta elettronica.  

Durante l’hack, l’organizzazione ha richiesto che Sony ritirasse il suo film allora in uscita “The Interview”—una commedia su un complotto per assassinare il leader nordcoreano Kim Jong-un—e ha minacciato attacchi terroristici nei cinema che avrebbero proiettato il film. Dopo che molte delle principali catene di cinema statunitensi hanno scelto di non proiettare “The Interview” in risposta a queste minacce, Sony ha cancellato la première ufficiale del film e la sua uscita mainstream, optando per passare direttamente a una distribuzione digitale scaricabile seguita da una limitata uscita cinematografica il giorno successivo.

La decisione di Sony di ritirare la distribuzione cinematografica di “The Interview” ha comportato enormi sanzioni finanziarie. Tuttavia, la reputazione dello studio cinematografico aveva già subito un duro colpo. 

Il governo degli Stati Uniti ha concluso che il governo nordcoreano era dietro l’attacco, ma non ha mai fornito pubblicamente alcuna prova a sostegno di tali accuse. Tuttavia, aziende di sicurezza private hanno scoperto indizi che puntano al Bureau 121 

SWIFT Banking

Nel 2015/2016, è stata rivelata una serie di cyberattacchi che sfruttavano la rete bancaria SWIFT, riuscendo a rubare milioni di dollari. È stato attribuito al governo della Corea del Nord e, se fosse stato confermato, sarebbe stato il primo caso noto di cybercrimine sponsorizzato da uno stato.

Tuttavia, gli esperti sospettano che il gruppo di hacker Lazarus Group (una filiale di Bureau 121) sia responsabile di crimini di alto profilo come l’hack di Sony Pictures, il furto alla Banca del Bangladesh e diversi altri attacchi informatici in tutto il mondo.

Gli hacker hanno utilizzato malware e email di phishing per infiltrarsi nei sistemi bancari e dirottare i conti di alto valore. Se l’attribuzione alla Corea del Nord fosse stata confermata, sarebbe stata la prima istanza di un’entità statale che utilizza attacchi informatici per rubare fondi. Gli hacker hanno utilizzato malware sofisticati e messaggi di spear-phishing per ottenere accesso alle reti bancarie. Hanno poi manipolato i messaggi SWIFT per trasferire fondi.

Il governo nordcoreano avrebbe istruito i suoi hacker informatici a prendere di mira le banche in circa 18 paesi. Ciò al fine di raccogliere fondi per eludere le sanzioni internazionali.

La comunità internazionale ha sanzionato la Corea del Nord per i suoi test missilistici balistici e nucleari. Questo, ovviamente, significa che la nazione eremita è tagliata fuori dalle banche internazionali. Per aggirare questo ostacolo, gli esperti ritengono che i funzionari nordcoreani abbiano inviato degli hacker a prendere di mira le banche in circa 18 paesi. Gli hacker avevano il compito di rubare più denaro possibile attraverso mezzi fraudolenti in modo che il governo nordcoreano potesse utilizzarlo per finanziare i suoi programmi militari.

Gli aggressori hanno sfruttato numerose vulnerabilità nei sistemi bancari delle banche membro. Ciò ha permesso loro di ottenere il controllo delle credenziali swift delle banche. I ladri hanno successivamente utilizzato tali credenziali per inviare richieste di trasferimento di denaro SWIFT ad altre banche. Da lì, hanno trasferito i soldi su conti controllati dagli hacker, fidandosi dell’autenticità dei messaggi.

Attacco Ransomware WannaCry

Nel maggio 2017, i computer in tutto il mondo sono stati attaccati da un ransomware noto come WannaCry. Il cyberattacco ha sfruttato una vulnerabilità del software presumibilmente identificata dall’Agenzia per la Sicurezza Nazionale degli Stati Uniti (NSA) e pubblicata dall’organizzazione di hacker The Shadow Brokers un mese prima.

Gli aggressori informatici hanno criptato i dati e richiesto pagamenti di riscatto nella criptovaluta Bitcoin. L’attacco informatico ransomware WannaCry è stato un importante “campanello d’allarme” digitale che ha preso di mira computer e reti che utilizzavano il sistema operativo Windows. Inoltre, il malware si è accanito su sistemi più vecchi che eseguivano ancora un exploit sviluppato dalla NSA degli Stati Uniti, che The Shadow Brokers aveva rubato e divulgato.

Il ransomware si è diffuso in tutto il mondo, infiltrandosi nei computer con sistemi operativi Windows più datati e criptando i file. Ha causato devastazioni negli ospedali nel Regno Unito, in FedEx negli Stati Uniti e in molte altre vittime in tutto il mondo. Molti utenti hanno perso l’accesso ai loro file durante questi attacchi e hanno potuto recuperare l’accesso solo dopo aver pagato il riscatto in bitcoin.

Tuttavia, molte delle patch erano disponibili da sei mesi prima dell’attacco. Entro la metà del 2024, tutte le versioni supportate avevano corretto le vulnerabilità. Nonostante ciò, rimaneva comunque una minaccia per coloro che utilizzavano sistemi non aggiornati o non supportati come Windows XP. Ciò suggerisce che vi fosse una mancanza di “reverse engineering” per ispezionare il malware sconosciuto, analizzando i suoi decifratori e esaminando i suoi codici malware al momento della scoperta iniziale.

L’attacco è iniziato nel maggio 2017 e non è stato un evento isolato. Ha infettato più di 230.000 computer in oltre 150 paesi, con perdite di oltre 4 miliardi di dollari solo nel primo giorno. I procuratori federali degli Stati Uniti hanno dichiarato che dietro l’attacco c’era la Corea del Nord il giorno successivo.

Attacco alla Corea del Sud 

Il 20 marzo 2013 o in date vicine, un sospetto attacco informatico nordcoreano ha causato la perdita dei terminali informatici di tre stazioni televisive sudcoreane e di una banca, in un sospetto atto di guerra cibernetica.

Circa 19.000 computer e server di importanti emittenti e banche sudcoreane sono stati colpiti.

KBS, MBC e YTN hanno trasmesso uno schermo vuoto per circa 15 minuti. Anche le banche—Shinhan, Nonghyup e Jeju Bank—non sono state in grado di operare dopo che l’attacco ha gravemente compromesso le loro reti informatiche. Inoltre, molti sportelli automatici sono rimasti fuori servizio, servendo come promemoria del fatto che infrastrutture critiche come i sistemi bancari sono suscettibili agli attacchi informatici.

Tutte le organizzazioni colpite erano collegate a una rete comune, il che implica che gli hacker hanno probabilmente preso di mira una vulnerabilità di quella rete. Gli aggressori si sono apparentemente concentrati sul cancellare completamente i file piuttosto che richiedere un riscatto. Al momento non è chiaro come il gruppo lo abbia portato a termine o chi fosse dietro di esso. Gli attacchi sono avvenuti intorno alle 20:00 del 20 marzo e sono stati portati sotto controllo dopo 17 ore.

Codici malevoli sono stati rilasciati nei computer degli utenti attraverso vulnerabilità del browser o della pagina web. Il codice veniva attivato solo quando venivano accessi determinati siti web. Portava a termine l’attacco cancellando file sui dischi rigidi.

I dischi rigidi dei computer delle principali stazioni di trasmissione e banche in Corea del Sud sono stati sistematicamente cancellati, colpendo 32.000 computer. Gli aggressori hanno eliminato i file più critici da tre emittenti, KBS, MBC e YTN. Anche due banche — Shinhan Bank e Jeju Bank — sono state colpite. Si ritiene che l’attacco sia stato un attacco sintetico sponsorizzato dallo stato che ha utilizzato diverse varianti di malware. Anche se la Corea del Nord è stata ampiamente sospettata come aggressore, non è stata presa alcuna determinazione ufficiale.

Conclusione

Bureau 121 è un’organizzazione nordcoreana top-secret composta da esperti hacker informatici. Negli ultimi anni, sono stati accusati di aver hackerato banche internazionali e varie aziende. Bureau 121 cerca prodigi tradizionali. Il gruppo recluta principalmente giovani e li addestra per diventare hacker eccezionali. Li inviano in tutto il mondo per seminare il caos tra i loro nemici.