Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Quello che poteva sembrare un attacco isolato si è rivelato un modus operandi ben rodato e, soprattutto, altamente dannoso. È quanto emerge da un recente report di CrowdStrike, che pone l’accento sulle crescenti minacce alla sicurezza informatica di aziende e governi, sempre più esposti ad attacchi da parte di hacker nordcoreani. Questi ultimi utilizzano LinkedIn per ottenere impieghi all’interno delle stesse aziende che intendono colpire. Tra i gruppi più attivi in questo ambito, si distingue il collettivo Famous Chollima. Il report enumera ben 304 attacchi condotti su scala globale, dei quali il 41% rientra nella categoria di insider threat, ovvero minacce portate avanti da soggetti interni all’organizzazione; è possibile che in questo momento alcuni affiliati stiano lavorando all’interno di oltre 100 aziende tecnologiche statunitensi.
Infiltrazione strategica e attacchi dall’interno
Secondo CrowdStrike, sono tre i gruppi legati alla Corea del Nord che prendono di mira enti della difesa e dell’aerospazio in diversi Paesi: Labyrinth Chollima, Velvet Chollima e Silent Chollima. Famous Chollima, in particolare, si concentra sull’ambito IT, quello tecnologico, sfruttando la propria presenza interna alle aziende per compiere attacchi informatici finalizzati al finanziamento del regime di Pyongyang.
Come si infiltrano
Gli affiliati del gruppo riescono a ottenere posizioni di lavoro reali all’interno delle aziende bersaglio, utilizzando identità false, spesso costruite con l’aiuto di strumenti di intelligenza artificiale generativa. I profili LinkedIn sono accuratamente elaborati, con testi e immagini creati ad hoc per ingannare i recruiter, in particolare quelli delle cosiddette aziende FANG (Facebook, Amazon, Netflix e Google).
Una volta superate le prime fasi di selezione, durante le prove tecniche – ad esempio un esercizio di programmazione – i falsi candidati distribuiscono software malevolo tramite applicazioni Node.js. In alcuni casi, i dispositivi ricevuti dall’azienda (laptop o altri strumenti di lavoro) vengono inviati a una terza parte, incaricata di gestire laptop farm (ovvero luoghi dove più dispositivi compiono operazioni di varia natura, tra cui anche malevola) dove vengono installati strumenti di accesso remoto e estensioni del browser per il controllo delle attività.
Un fenomeno difficile da intercettare
Famous Chollima rappresenta una delle minacce più insidiose, secondo agenzie di sicurezza come CrowdStrike. La sua pericolosità risiede nella capacità di muoversi agilmente tra piattaforme e ambienti, sfruttando le tecniche più avanzate per aggirare i sistemi di controllo. Le campagne del gruppo sono particolarmente difficili da individuare, soprattutto ora che fanno ricorso a strumenti di AI per mascherare identità, comunicazioni e comportamenti.
I membri del collettivo riescono spesso a ottenere contratti a tempo determinato o posizioni full time, presentando curriculum dettagliati e credibili, con riferimenti a esperienze in aziende conosciute e meno note. Gli obiettivi principali sono l’accesso a dati finanziari riservati, proprietà intellettuali e altre informazioni sensibili.
Come tutelarsi
«Per difendersi da questa minaccia interna – spiega Adam Meyers, head of counter adversary operations di CrowdStrike – è necessario che i team preposti alla selezione del personale trattino il processo di assunzione come un’attività critica per la sicurezza verificando rigorosamente le identità, utilizzando l’onboarding tramite video in diretta e collaborando strettamente con i reparti IT, legal e sicurezza». Ma non è tutto: «In seguito all’assunzione poi è fondamentale monitorare segnali comportamentali sospetti, come pattern di accesso insoliti o un rendimento cronicamente basso, e assicurarsi che l’intelligence sulle minacce e la threat hunting proattiva siano parte di una strategia di difesa continua»

ROBERTO COSENTINO