Lazarus, Bluenoroff e Andariel. Sono questi i tre gruppi di cracker ritenuti vicini al governo nordcoreano e accusati dal Dipartimento del Tesoro statunitense di essere i responsabili di alcuni attacchi. Tra questi anche l’azione che ha colpito Sony nel 2014 e quelle perpetrate a partire dal 2017 mediante la diffusione di WannaCry, uno dei ransomware più virulenti di sempre: oltre 300.000 di terminali colpiti in più di 150 paesi nel mondo.
Azioni coordinate dalla Corea del Nord
Stando alle informazioni disponibili, la finalità delle operazioni sarebbe stata fin dall’inizio quella di raccogliere fondi da destinare al programma missilistico messo in campo da Pyongyang. L’autorità statunitense chiede il congelamento dei fondi legati ai tre gruppi, interessando con la stessa misura anche ogni realtà straniera impegnata nel favorire il loro business. A controllare Lazarus, Bluenoroff e Andariel sarebbe il Reconnaissance General Bureau, l’agenzia di intelligence della Corea del Nord.
L’attività di Blueronoff è documentata fin dal 2014. Il nome gli è stato attribuito da Kaspersky e ispirato a uno dei tool impiegati. Ha colpito istituzioni finanziarie in India, Messico, Pakistan, Filippine, Corea del Sud, Taiwan, Turchia, Cile e Vietnam. Nel 2016 ha sottratto 81 milioni di dollari (18 milioni sono stati recuperati) con un singolo attacco del 2016 alla Bangladesh Central Bank il cui obiettivo era quello di arrivare a un bottino da 851 milioni di dollari. Il focus di Andariel si è concentrato a partire dal 2015 più su realtà private, spionaggio ai danni dei dipartimenti della difesa (in particolare quello sudcoreano) e servizi finanziari.
Entrambi sono controllati da Lazarus, paragonabile a quella che nell’ambito delle attività legali potrebbe essere definita una sorta di parent company. Secondo un report di Group-IB, quest’ultima lo scorso anno ha messo a segno un colpo in criptovalute per un equivalente pari a 571 milioni di dollari.