Come dare la colpa agli hacker nordcoreani

mano codicebinariodi Francesco Galofaro
Università di Torino; CUBE;

Perché è sempre colpa della Corea del Nord? O degli hacker russi? La risposta può venire, forse, dalla narratologia. Come sappiamo, non c’è giallo senza colpevole: se, giunto all’ultima pagina, il lettore viene lasciato in preda ai suoi dubbi, il romanzo cambia genere e diventa letteratura colta. Lo stesso dicasi per le inchieste giornalistiche sui crimini informatici: i colpi più efferati degli ultimi decenni devono avere un autore; dietro le maschere anonime di pseudonimi come Shadow Brokers, Lazarus, Guccifer 2.0 deve esserci un volto. Nell’impossibilità di individuare i reali responsabili, che probabilmente godono dei frutti delle proprie rapine in qualche isola tropicale, un vero e proprio sistema, composto da superpotenze, media e agenzie investigative, cerca di manipolare l’opinione pubblica e di accusare il nemico geopolitico.

In questi casi, la mossa più semplice è attribuire la responsabilità ai comunisti (Corea del Nord, Cina) o all’impero del male (Russia), proprio come accadeva durante la guerra fredda. In questo articolo vorrei mostrare come nasce questo genere di false notizie, che diventano presto verità incontestabili, note a tutti, impossibili da mettere in dubbio.

Finanziare i missili nucleari coi videogiochi

Spesso il punto di vista adottato sui conflitti tra Stati che coinvolgono la rete è improntato a un sensazionalismo acritico (ideologico, a pensar male). Ad esempio, nel 2018 l’agenzia Bloomberg pubblica un’intervista a un hacker coreano ‘dissidente’ [1]. Un giovane di talento, selezionato negli anni ‘90 per studiare in Cina, e in seguito destinato a piccole operazioni di hackeraggio e di violazione dei diritti d’autore, per conto di una sezione segreta del Partito dei lavoratori chiamata ‘Office 91’. Tra gli altri aneddoti, racconta di aver passato molto tempo giocando a giochi di ruolo fantasy on line: Lineage e Diablo. Una volta costruiti personaggi molto potenti, li rivendeva ad altri giocatori.

Una bella storia, che periodicamente torna ad affacciarsi nei media. L’8 agosto del 2011, la rivista PC gamer pubblicava la notizia dell’arresto di 30 hacker nordcoreani [2]. La struttura narrativa è la stessa, ma questa volta la storia è ambientata a Seul, la sezione segreta del Partito si chiama ‘Office 39’, le università in cui gli hacker si sono laureati sono le migliori della Corea del Nord, e gli hacker non giocavano direttamente al videogame Lineage, ma avevano programmato dei bot allo scopo di rastrellare l’oro virtuale del gioco per poi ‘cambiarlo’ in valuta reale vendendolo ad altri giocatori.

Quattro giorni dopo, Repubblica – già allora all’avanguardia nella denuncia dei crimini commessi dalla Corea del Nord – pubblicava una notizia simile [3], arricchendola di dettagli: alla lista dei giochi si aggiunge Word of Warcraft, che in Cina ci sarebbero circa centomila hacker che vivono in questo modo, diecimila dei quali al soldo della Corea del Nord.

La stanza 39

Si tratta chiaramente di una storia di propaganda, fabbricata con lo stampino. La ‘Sezione 39’ ritorna infatti in un documentario in cui il dissidente di turno, questa volta ex funzionario di partito, sostiene che la sua funzione era controllare fabbriche, società commerciali, miniere ecc. mettendo questi fondi a disposizione del leader supremo, sottraendole al bilancio dello Stato [4]. Proprio come nel caso dell’Area 51, a quanto pare sappiamo tutto quel che avviene in questa segretissima stanza, e Wikipedia le dedica una pagina apposita [5].

Cybercrimini di Stato

L’intervista di Bloomberg è per certi versi deludente. Il ‘dissidente’, il cui fantasioso pseudonimo è Jong, racconta crimini minori, peccati veniali, come il pirataggio di CD. La Corea del Nord si è macchiata di ben altri delitti, come leggiamo nell’opuscolo #Cybercrime, di Carola Frediani, pubblicato nel 2019 da Hoepli – ovvero, da una casa editrice molto seria [6]. L’autrice ricostruisce un insieme di episodi criminosi cui cerca di fornire un’interpretazione e un significato. Nel caso di una serie di crimini informatici che di politico hanno ben poco, Frediani sposa la tesi che individua il mandante nella Corea del Nord, stato canaglia per eccellenza. Come vedremo, esistono molte ipotesi differenti sul reale colpevole, tutte proposte dagli investigatori che si occupavano dei suddetti crimini e tutte pubblicate da diverso tempo. L’autrice tuttavia non le ha considerate, nemmeno allo scopo di confutarle.

Chi è stato?

In passato, mi sono già occupato di Wannacry, il software pirata che, nel 2016, ha bloccato fabbriche, università, ospedali, criptandone i dati e chiedendo un riscatto ai malcapitati [7]. Come in un film di fantascienza, il mondo si è fermato man mano che il virus si diffondeva. L’applicazione malevola sfruttava una vulnerabilità di Windows che per la verità era già nota; purtroppo, gli utenti infettati avevano trascurato di aggiornare il loro sistema operativo. Wannacry è un ransomware: cripta i dati dell’utente per chiedergli un riscatto (ransom). Oggi, grazie alle scrupolose indagini dell’FBI, questo crimine ha trovato un colpevole: la Corea del Nord, ça va sans dire. Oppure no?

Come nasce un virus

Gli spioni della National Security Agency (NSA, un’agenzia di spionaggio USA) avevano per primi scoperto la vulnerabilità di Windows su cui è basato Wannacry; invece di avvertire Microsoft, hanno pensato bene di sfruttarla, sviluppando una cyber-arma chiamata Eternal blue, allo scopo di infiltrarsi nei computer da spiare (purché montino Windows). In seguito, Eternal blue è stata rubata e messa in vendita su Internet da un misterioso gruppo di pirati chiamato Shadow Brokers. Infine, un secondo gruppo di hacker l’ha usata per sviluppato Wannacry. per chiedere il riscatto: la responsabilità è stata attribuita alla sigla Lazarus.

Le responsabilità USA

Mi sono già occupato di come ‘dare la colpa agli hacker russi’, ovvero di come Eternal Blue sia stato progettato dalla NSA predisponendolo per sviare le indagini [8]. Per riassumere: ogni programmatore ha la possibilità di inserire commenti nel codice che sta scrivendo, per ricordare (anche a se stesso) a cosa servono certi ‘pezzi di codice’, funzioni, variabili … Il codice degli americani prevedeva luoghi appositi per inserire commenti nella lingua del nemico, in modo da far ricadere la colpa su jiadisti, coreani, russi, cinesi o iraniani, a seconda delle esigenze. Gli USA hanno progettato una cyber-arma criminale predisposta per far cadere le responsabilità sulle spalle altrui. In seguito, se la sono lasciata rubare da gruppi di criminali, come sottolinea, correttamente, anche il libro di Carola Frediani. Il problema aperto per gli investigatori, gli Stati nazione e i giornalisti come la Frediani è attribure un volto agli autori del furto e del ransomware.

Perché la Corea del Nord?

La tesi che identifica gli autori di Wannacry (il gruppo Lazarus) con un agenti nordcoreani che godrebbero dell’appoggio della Cina è stata proposta dagli stessi americani, che l’autrice definisce l’unico cyber-poliziotto al mondo. Al gruppo Lazarus si attribuiscono almeno altri due ‘colpi’:

1) il grande furto di informazioni e di e-mail della Sony nel 2014. Nell’occasione, i criminali chiesero alla Sony di ritirare dalla distribuzione il film L’intervista, una commediola di serie B il cui bersaglio era il dittatore nordcoreano Kim Jong-Un [9];

2) la grande cyber-rapina della Federal Reserve Bank di New York del 2016: hackerando il network SWIF gli autori assunsero fittiziamente l’identità della banca del Bangladesh, riuscendo a trasferire illegalmente circa 80 milioni di dollari dalla Federal Reserve a cinque diversi conti nelle Filippine, dove i soldi furono lavati e riciclati [10].

Le somme sono presto fatte: il furto della Sony permette di identificare l’etichetta ‘Lazarus’ con la Corea del Nord. Quindi, ogni volta che un crimine è riconducibile a Lazarus, il vero responsabile sarebbe la Corea del Nord. Il meccanismo narrativo è lo stesso delle così dette condanne senza processo: prima si espongono una serie di indizi che puntano contro un certo imputato; da quel momento in poi, l’imputato diventa colpevole senza ulteriori dimostrazioni e senza considerare il punto di vista dalla difesa, si trattasse pure dell’avvocato del diavolo. Ma è davvero così semplice?

I conti non tornano

Gli USA incriminano gli agenti nordcoreani sulla base di una serie di passi falsi piuttosto clamorosi, come l’utilizzo, per inviare mail, di Google e Yahoo, due aziende molto collaborative nei confronti dell’FBI. Secondo Frediani la cosa sarebbe più o meno normale: solo dopo essere state colte una prima volta con le dita nella marmellata le organizzazioni spionistiche si farebbero più caute. Un altro punto poco chiaro è lo scopo di Wannacry: il meccanismo di pagamento era così artigianale da risultare non funzionante; il meccanismo di disinnesco tanto amatoriale che nel giro di un giorno venne scoperto da un giovane blogger disoccupato, che si autoproponeva come hacker etico. D’altro canto, se il vero scopo fosse stato una dimostrazione politica, perché fingere un tentativo di estorsione? Possiamo cavarcela con lo stereotipo della ‘follia’ della Corea del Nord, questa novella Spectre intimamente volta al male, destinata a venir sempre sconfitta da James Bond a causa di stupidi passi falsi?

Colpevoli alternativi

In occasione del grande furto di 80 milioni di dollari alla Federal Reserve Bank di New York, il gruppo Lazarus – o chi per loro – aveva dimostrato ben altre capacità. Come ricostruito da Loretta Napoleoni [11], molti esperti del settore hanno espresso dubbi sull’attribuzione della responsabilità alla Corea del Nord: secondo Laura Galante, che ha investigato sul caso del furto alla Federal Reserve, fino all’ottobre 2017 la Corea del Nord era connessa al resto del mondo da un unico cavo di fibra ottica che collega Pyongyang a Dadong, in Cina. Secondo Tanvir Hassan Zoha, un esperto informatico che ha indagato sullo stesso caso, nessun indizio puntava sulla Corea del Nord. Al contrario, la riuscita del colpo presupponeva la presenza di un basista interno alla banca. Lo stesso può dirsi del furto alla Sony, come confermato da un dirigente in un’intervista alla rivista TMZ [12]. Infatti, in qualsiasi grosso furto di informazioni, ci vogliono mesi, addirittura anni per trovare quelle davvero imbarazzanti nella marea di dati insignificanti che vengono rubati. Un basista interno avrebbe potuto dire ai criminali dove cercare. Per quanto riguarda il movente, il malware utilizzato è stato usato dalla stessa Sony per proteggere i propri cd dalla pirateria, colpendo quanti avessero tentato di copiarli. Si sarebbe trattato dunque di una ritorsione della comunità hacker.

Come cancellare le impronte digitali

Da semiotico, trovo sempre molto divertenti le prove indiziarie di carattere linguistico che orientano le investigazioni. Anche Carola Frediani le riporta nel suo libro: le note del riscatto di Wannacry erano scritte in una trentina di lingue, ma quasi tutte le traduzioni sono state realizzate con Google Translator. In tre casi la lingua non era tradotta: nella versione inglese e in due versioni cinesi. Ma la versione inglese conteneva un marchiano errore di grammatica, mentre le due versioni cinesi erano linguisticamente più ricche e contenevano testo originale. Tanto basta all’autrice per accettare la tesi secondo cui l’attenzione andrebbe spostata su ‘un’area geografico-politica interessante’.

Si direbbe che gli investigatori, e i giornalisti che ne riportano acriticamente le deduzioni, credano che il nostro rapporto con la lingua sia del tutto inconsapevole. Ad esempio, i pirati informatici sarebbero così ottusi da lasciare commenti nelle rispettive lingue madri – guarda caso russo, cinese e coreano. Eppure, l’offuscamento del codice è un concetto tecnico dell’informatica: wikipedia lo definisce come ‘l’atto di creare deliberatamente codice sorgente difficile da comprendere per un lettore umano [13]’. La rimozione di commenti è una funzione automatica di molti compilatori, anche solo per ridurre il codice allo stretto necessario (minification). Infine, il concetto di false flag è ben noto nel mondo degli hacker e dunque anche in quello delle aziende di cybersecurity. Si tratta di terminologia mutuata dal mondo dello spionaggio: secondo la definizione di wikipedia, ‘l’idea è quella di “firmare” una certa operazione per così dire “issando” la bandiera di un altro Stato o la sigla di un’altra organizzazione [14]’. La stessa Carola Frediani dedica un box di spiegazioni al termine. Eppure, quando si tratta di wannacry, non ha dubbi sulla sua attribuzione, su basi linguistiche, allo scenario geopolitico dell’estremo oriente.

Fake news professionali

Il libro che abbiamo esaminato non è un caso raro. Non è difficile leggere sui principali quotidiani nazionali attribuzioni molto leggere di cyber-crimini alla Cina o alla Russia: in fondo, non si rischiano querele. Quel che vorrei ribadire è che, al momento della pubblicazione del volume di Carola Frediani, tutti i dubbi sull’identificazione del gruppo Lazarus con la Corea del Nord erano già noti: sarebbe bastato documentarsi. Eppure, l’autrice non li prende in considerazione e non tenta di confutare attribuzioni diverse dei crimini che ricostruisce.

E’ curioso come alcune ‘notizie false’ continuino a circolare semplicemente perché i giornalisti non mettono alla prova la tesi che reputano più convincente, non comparano le proprie fonti, non valutano la ‘fonte della fonte’, come si richiede a un laureando in discipline umanistiche. Paradossalmente, gli stessi giornalisti imputano gli stessi difetti al mondo della rete, ai blogger fai-da-te, ai siti che diffondono idee politiche contrarie a quelle del loro editore, e considerano questo come l’ambiente ideale per fabbricare le così dette fake news. In fondo, ‘fake news’ è semplicemente il nome con cui la propaganda chiama le verità del nemico.

La mancanza di strumenti critici

Agenzie di investigazione, superpotenze e mass media condividono un interesse nel far ricadere la colpa sul nemico ideologico, anche se per tre motivi diversi (d’affari; politici; narrativi). Infatti, ciascuno di questi tre soggetti deve produrre l’identikit di un nemico accettabile tanto dagli altri due quanto dall’opinione pubblica, in casi in cui è molto difficile, se non impossibile, avere certezze sui reali responsabili di un attacco. D’altro canto, l’opinione pubblica raramente possiede le competenze per mettere alla prova la tesi dell’accusa, e nemmeno un metodo per giudicare la credibilità degli studi proposti. Così nascono leggende come quella dei diecimila hacker nordcoreani che giocano ai videogiochi e della sezione 39.

Conclusioni

Nel corso dell’articolo ho cercato di mostrare come la battaglia per l’attribuzione di un colpevole ai cyber-crimini si sia fatta già da tempo ideologica, segnando un costante tentativo di manipolare l’opinione pubblica, distraendola dai guasti del sistema (le armi create dai servizi segreti e sfuggite di mano) e identificando il vero pericolo in un oscuro e temibile nemico esterno. Un barbaro perennemente pronto a invaderci, dato che con Internet qualunque Stato confina col resto del modo, proprio come le antiche repubbliche marinare. Si tratta del problema della sovranità algoritmica, che da qualche anno vado esplorando nei miei articoli. Attraverso ragionamenti indiziari solo apparentemente logici, servizi segreti, agenzie di investigazione e media costruiscono false notizie il cui solo scopo è diffondere la paura del nemico, sfruttando la parte meno razionale dell’opinione pubblica, costituendo quelle pseudoverità che ognuno di noi dà per scontate, e che se messe alla prova si rivelano inconsistenti. Proprio come l’idea che la Corea del Nord rapini le banche, mandi in tilt gli ospedali e minacci di distruggere il nostro sistema di comunicazione perché governata da un tiranno instabile e intimamente malvagio.

NOTE

https://www.bloomberg.com/news/features/2018-02-07/inside-kim-jong-un-s-hacker-army
https://www.pcgamer.com/north-korea-deploys-squad-of-mmo-gold-farmers-to-fund-regime/
https://www.repubblica.it/tecnologia/2011/08/12/news/gli_hacker_di_pyongyang_si_danno_ai_videogame_raccogliere_fondi_nei_giochi_di_massa-20361526/
4 Loretta Napoleoni, Kim Jong-Un il nemico necessario, Milano: BUR, 2018, p. 79.
https://en.wikipedia.org/wiki/Room_39.
6 Carola Frediani, #Cybercrimine: attacchi globali, conseguenze locali, Milano: Hoepli, 2019.
https://www.marx21.it/index.php/comunicazione/comunicazione/28058-attacchi-informatici-e-guerra-planetaria
https://www.marx21.it/index.php/comunicazione/comunicazione/28117-come-dare-la-colpa-agli-hacker-russi-
https://en.wikipedia.org/wiki/Sony_Pictures_hack
10 https://en.wikipedia.org/wiki/Bangladesh_Bank_robbery
11 Loretta Napoleoni, Kim Jong-Un il nemico necessario, Milano: BUR, 2018, pp. 120 – 136.
12 https://www.tmz.com/2014/12/17/sony-hack-inside-job-north-korea-investigation/
13 https://it.wikipedia.org/wiki/Offuscamento_del_codice
14 https://it.wikipedia.org/wiki/False_flag