Il cyberspazio è ormai un fronte strategico cruciale, dove minacce sempre più sofisticate mettono in crisi la sicurezza globale. L’Europa resta esposta, mentre la Corea del Nord utilizza gruppi hacker come Lazarus per finanziare il proprio programma nucleare e aggirare sanzioni. Un fenomeno che solleva interrogativi legali profondi, rendendo il caso nordcoreano un esempio chiave delle nuove sfide cyber.
Una delle dimensioni che più caratterizzano la conflittualità odierna, destando crescente preoccupazione e conquistando spazio nell’agenda setting per la sicurezza nazionale degli Stati, è senz’altro quella dello spazio cyber. L’aumento degli attacchi cibernetici basati su vulnerabilità a danni dei settori pubblici e delle infrastrutture critiche restituisce uno scenario allarmante, con un’Europa fortemente esposta a causa di uno strutturale sottofinanziamento e inadeguatezza delle strategie di cybersecurity. Alla luce dell’incremento di capacità nell’ultimo decennio e dei recenti eventi, una minaccia più subdola e preoccupante sembra però provenire da Pyongyang.
Il caso ByBit e gli albori dell’infrastruttura digitale nordcoreana
Il 21 febbraio un attacco hacker ai danni della piattaforma di scambio di criptovalute ByBit ha permesso il furto di circa 1,5 miliardi di dollari in valuta virtuale da parte di un gruppo noto come Lazarus, uno dei tanti attori state-sponsored che si ritiene forniscano le proprie sofisticate competenze in materia per perseguire i fini del governo nordcoreano. Secondo l’FBI, l’attacco è stato condotto tramite uno specifico sistema malevolo chiamato “TraderTraitor”. Esso consiste, tramite forme di ingegneria sociale, nello spingere i singoli detentori di portafogli digitali a scaricare valute che, a loro volta, contengono un programma malevolo, utile all’estrazione della moneta digitale e al suo trasferimento in altri portafogli legati al gruppo, il quale la converte in denaro reale, oppure la distribuisce in altri portafogli con l’intento di evitarne l’identificazione. Trattasi di uno dei più notevoli furti nella storia delle criptovalute, l’evento ha riportato all’attenzione globale il ruolo che attori di questo tipo hanno nel sostenere le ambizioni o nel supportare le politiche nazionali di uno Stato, in questo caso quello nordcoreano.
La genesi degli hacker nordcoreani risale agli anni Novanta, su impulso di Kim Jong-il, il quale riconobbe come l’avvento di Internet e delle nuove tecnologie avessero trasformato il modo di concepire la preparazione e l’attuazione di un conflitto. La Guerra del Golfo prima, e successivamente quella in Iraq e in Kosovo, spinsero le autorità nordcoreane ad integrare tali nuove strumenti all’interno delle loro istituzioni militari e d’intelligence.
Grazie a precedenti collaborazioni con l’URSS negli anni Ottanta, Pyongyang fondò tra il 1984 e il 1986 il Mirim College e, nel 1986, il Pyongyang Informatics/Information Center (PIC). Entrambi rappresentano i primi progetti della Corea del Nord per dominare lo spazio informatico, controllarlo ed utilizzarlo per i propri obiettivi. Non a caso, il Mirim, secondo alcuni documenti statunitensi, è ad oggi uno dei principali centri di formazione di hacker, garantendo un’educazione a tutto campo dell’ingegneria elettronica e delle scienze informatiche. A sua volta, il PIC è ritenuto il creatore della intranet nordcoreana, che assicura protezione ai gruppi hacker nel Paese ed evita possibili intromissioni esterne. In collaborazione con il PIC, vi è il Korea Computer Center, il quale supporta l’invio di lavoratori nordcoreani nel campo IT, utilizzati dal regime per infiltrarsi in aziende straniere e carpire informazioni o materiali sensibili.
Cyber-coercizione, spionaggio e sottrazione di dati sensibili.
L’arrivo di Kim Jong-un ha portato a una più ampia integrazione delle attività cibernetiche tanto all’interno quanto (formalmente) all’esterno dei diversi organi nazionali. Dal 2009, sotto il controllo della Commissione per gli Affari di Stato, autorità politica suprema della Corea del Nord, ricade il Reconnaissance General Bureau (RGB), ovvero i servizi segreti nazionali. Al loro interno sono stati progressivamente realizzati diversi laboratori o ‘uffici’, aventi ciascuno attività quali lo spionaggio, lo sviluppo di malware, disinformazione e furti di dati, valute digitali e segreti industriali e militari. A loro volta, sono presenti numerosi gruppi hacker, i quali non agiscono all’interno delle istituzioni nordcoreane ma sono da esse sostenuti e finanziati. Parliamo, in questo senso, del già citato Lazarus Group, del Bluenoroff Group, di APT37 e di Andariel. Molti di questi, in determinati casi, sono sottounità del Lazarus Group.
Benché non abbiano mai rivendicato le loro azioni, rendendo complesso stabilirne l’effettivo coinvolgimento, sappiamo però che, almeno inizialmente, sono stati partecipi di attività contro centri e istituzioni della Corea del Sud. Tramite diverse campagne e operazioni di spionaggio e cyberterrorismo, questi gruppi sono riusciti a penetrare organizzazioni ed enti quali la sudcoreana Korea Hydro & Nuclear Power Co., il Korea Atomic Energy Research Institute, istituti bancari come Shinhan Bank e la National Agricultural Cooperative Federation, e alcune media company, come KBS, MBC e YTN. L’obiettivo è creare instabilità sociale e ottenere documenti riservati di natura bellica e nucleare, molti dei quali sono stati effettivamente acquisiti. Ad esempio, nel 2017, hacker nordcoreani riuscirono ad accedere a quelli che furono considerati credibili piani di guerra della Corea del Sud in caso di conflitto con il Nord, inclusi progetti di assassinio ai danni di Kim Jong-un.
Iniziative di questo tipo, però, sono divenute sempre più rare. È probabile che Kim Jong-un, con l’avvio del programma missilistico-nucleare, abbia incoraggiato i gruppi a concentrarsi verso attacchi a banche ed enti finanziari, data l’imperante necessità di ottenere fondi per il proseguimento della ricerca atomica, invece che continuare attività di cyberterrorismo e destabilizzazione che non avevano avuto particolari conseguenze, se non quella di estendere le sanzioni verso Pyongyang. La stessa volontà di trafugare verosimili piani di guerra sudcoreani è stata in gran parte abbandonata, soprattutto a causa della disponibilità dell’arma nucleare da parte del Nord, che impone un totale ripensamento e una modifica delle strategie militari, rendendo molta documentazione, se non inutile, quantomeno quasi obsoleta, vista anche la rigidità dei piani militari del Sud e le differenti capacità belliche tra i due Paesi. Continuano invece, seppur con saltuarietà, le operazioni volte a trafugare documenti relativi ad armi o a prodotti legati all’industria della difesa.
Gruppi non statali al servizio della macchina coreana: un’analisi dei limiti legali
Oggi Pyongyang utilizza i gruppi hacker soprattutto per l’ottenimento di criptovalute o denaro, finalizzati all’evoluzione delle proprie armi di distruzione di massa. L’impiego di proxy connessi allo Stato nordcoreano pone l’attenzione su una questione fondamentale: il ruolo degli attori para-statali e i benefici che Pyongyang ottiene dal loro utilizzo sulla scena internazionale. In tal senso, la loro presenza nelle attività cyber rende la Corea del Nord un caso scuola per l’analisi del diritto internazionale e della responsabilità derivante dai comportamenti di agenti diretti da organi terzi.
Tali dinamiche, evidenti in episodi ormai ricorrenti, si inseriscono in un’attività sempre più intensa degli hacker nordcoreani nel cosiddetto “sesto dominio”, e mettono in luce questioni trasversali che invitano a riflessioni indispensabili per comprendere la complessità e la dinamicità di questi fenomeni emergenti, dai quali le realtà nazionali ed europee devono sapersi proteggere.
Elemento di partenza per comprendere la strategia nordcoreana è superare l’apparente paradosso per cui l’isolamento della Repubblica Popolare Democratica di Corea dal punto di vista politico-economico e la sua chiusura siano controintuitivi rispetto a capacità avanzate in ambito informatico. Il controllo stringente dell’apparato statale ha consentito e consente di concentrare le risorse intellettuali verso obiettivi strategici ed è risultata nel costante supporto e finanziamento a programmi universitari di eccellenza che mirano a formare esperti le cui competenze serviranno le necessità e le priorità dello Stato. Lo sfruttamento di gruppi di cyber criminali organizzati e strutturati consente infatti di abbassare drasticamente il rischio legato alle attività illecite aggirando ad esempio le sanzioni internazionali, dal momento che, a livello legale, esistono profonde e ambigue lacune nel settore, in particolar modo per quel che concerne l’attribuzione di tali condotte.
Attori non statali e il principio del controllo effettivo
Nel diritto internazionale ogniqualvolta viene commessa una violazione, occorre che essa sia attribuita a un soggetto internazionale (e ricordiamo che non-state actors, di qualsiasi genere, non possono essere considerati tali), ritenuto responsabile di tale azione compromissoria. Nel caso di illeciti commessi da enti state-sponsored, come in questo caso, l’art. 8 del progetto di codifica della Commissione di diritto internazionale “Articles on Responsibility of States for Internationally Wrongful Acts” (ARSIWA) del 2001 sancisce che uno Stato è responsabile del comportamento di un agente dietro direttive o controllo dei propri organi.
La dottrina del controllo è però frammentata: se nel noto caso della Corte Internazionale di Giustizia del 2007 sull’applicazione della Convenzione sul genocidio la Corte si è espressa negativamente circa la possibilità di considerare le azioni delle forze della Repubblica Srspka come condotte statali di Serbia e Montenegro, il caso Tadic dell’International Criminal Tribunal for the former Yugoslavia adotta un approccio più ampio.
La differenza di approcci nell’attribuire le condotte di attori non statali allo stato risiederebbe nel provare un controllo effettivo nel primo caso, escludendo la responsabilità statale laddove vi sia un certo margine di autonomia e indipendenza organizzativa degli attori, oppure un controllo generale, come nel caso Tadic, per cui sarebbe sufficiente per lo Stato partecipare o aver partecipato all’organizzazione, finanziamento, supporto delle attività. Sebbene quest’ultima postura sia stata respinta dalla CIG, essa risulta interessante poiché, nel caso di violazioni nello spazio cyber che si elevano a illeciti internazionali e/o violazioni di trattati, il caso nordcoreano risulterebbe un caso-scuola che illustra perfettamente questa dinamica: gli sforzi strutturali e concreti nel sostenere la formazione di personale qualificato, che convergerà poi nella pletora di gruppi a sostegno delle attività di guerra elettronica di Pyongyang, rientrano nel concetto legale di overall control, o controllo generale, per cui le azioni non-state possono essere ricondotte allo Stato, che può allora essere ritenuto internazionalmente responsabile.
Tuttavia, risulta particolarmente complesso applicare tali riflessioni al contesto cyber che, per la sua natura peculiare — a-territoriale, ibrida e dinamica — opera secondo logiche profondamente diverse rispetto a qualsiasi altro dominio di azione, richiedendo strategie e strumenti, anche legali, specifici e adeguatamente adattati alla sua unicità. Caratteristiche, queste, su cui Pyongyang fa sempre più leva, riuscendo non solo a ottenere grandi vantaggi con costi contenuti, ma anche a modificare costantemente le proprie azioni grazie alla malleabilità offerta dal mondo cibernetico, celando le proprie attività dietro codici, numeri e cifrature.
